Podatność w Microsoft 365 Copilot polega na niewłaściwej walidacji określonego typu danych wejściowych, co umożliwia nieuwierzytelnionemu atakującemu ujawnienie poufnych informacji przez sieć. Podatność otrzymała ocenę CVSS 9.3 (CRITICAL), co wskazuje na wysokie ryzyko dla organizacji korzystających z tego produktu.
▸ Pokaż oryginał (EN)
Improper validation of specified type of input in M365 Copilot allows an unauthorized attacker to disclose information over a network.
Błąd (CWE-1287) oznacza, że aplikacja nie weryfikuje poprawnie typu dostarczanych danych wejściowych, akceptując dane niezgodne z oczekiwanym formatem lub typem. Atakujący może przesłać specjalnie spreparowane dane wejściowe przez sieć, skłaniając użytkownika do interakcji (wymagana akcja po stronie ofiary, UI:R). Wektor ataku sieciowy (AV:N) bez wymogu uwierzytelnienia (PR:N) oraz zmiana zakresu (S:C) wskazuje, że skutki mogą wykraczać poza bezpośredni kontekst aplikacji.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji przetwarzanych przez Microsoft 365 Copilot, potencjalnie obejmujących dane organizacyjne użytkowników. Integralność danych nie jest bezpośrednio zagrożona, jednak ujawnienie informacji może prowadzić do poważnych naruszeń prywatności i bezpieczeństwa danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24307. Zaleca się regularne monitorowanie Microsoft Security Update Guide w celu weryfikacji dostępności aktualizacji.
Microsoft 365 Copilot — konkretne wersje wskazane w referencjach producenta (Microsoft Security Response Center).
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NMicrosoft 365 Copilot
APPMicrosoftwszystkie wersje
Powiązane podatności
Missing authentication for critical function in M365 Copilot allows an unauthorized attacker to disclose infor...
Command injection w Microsoft Copilot umożliwiający manipulację danymi
Open Redirect w Microsoft 365 Copilot umożliwia eskalację uprawnień
AI command injection w Microsoft 365 Copilot — ujawnienie informacji
Microsoft Office app Remote Code Execution Vulnerability