CRITICAL✓ PATCH🇬🇧 English

CVE-2026-24307

Nieodpowiednia walidacja danych wejściowych w Microsoft 365 Copilot — ujawnienie informacji

CVSS 9.3v3.1pub. 2026-01-22upd. 2026-02-12

Podatność w Microsoft 365 Copilot polega na niewłaściwej walidacji określonego typu danych wejściowych, co umożliwia nieuwierzytelnionemu atakującemu ujawnienie poufnych informacji przez sieć. Podatność otrzymała ocenę CVSS 9.3 (CRITICAL), co wskazuje na wysokie ryzyko dla organizacji korzystających z tego produktu.

Pokaż oryginał (EN)

Improper validation of specified type of input in M365 Copilot allows an unauthorized attacker to disclose information over a network.

🤖 Analiza AI
Jak działa

Błąd (CWE-1287) oznacza, że aplikacja nie weryfikuje poprawnie typu dostarczanych danych wejściowych, akceptując dane niezgodne z oczekiwanym formatem lub typem. Atakujący może przesłać specjalnie spreparowane dane wejściowe przez sieć, skłaniając użytkownika do interakcji (wymagana akcja po stronie ofiary, UI:R). Wektor ataku sieciowy (AV:N) bez wymogu uwierzytelnienia (PR:N) oraz zmiana zakresu (S:C) wskazuje, że skutki mogą wykraczać poza bezpośredni kontekst aplikacji.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji przetwarzanych przez Microsoft 365 Copilot, potencjalnie obejmujących dane organizacyjne użytkowników. Integralność danych nie jest bezpośrednio zagrożona, jednak ujawnienie informacji może prowadzić do poważnych naruszeń prywatności i bezpieczeństwa danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24307. Zaleca się regularne monitorowanie Microsoft Security Update Guide w celu weryfikacji dostępności aktualizacji.

Kogo dotyczy

Microsoft 365 Copilot — konkretne wersje wskazane w referencjach producenta (Microsoft Security Response Center).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Microsoft 365 Copilot

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-54130CRITICAL9.8ten sam produkt

Missing authentication for critical function in M365 Copilot allows an unauthorized attacker to disclose infor...

CVE-2026-41090CRITICAL9.3PL ✓ten sam produkt

Command injection w Microsoft Copilot umożliwiający manipulację danymi

CVE-2026-33102CRITICAL9.3PL ✓ten sam produkt

Open Redirect w Microsoft 365 Copilot umożliwia eskalację uprawnień

CVE-2025-32711CRITICAL9.3PL ✓ten sam produkt

AI command injection w Microsoft 365 Copilot — ujawnienie informacji

CVE-2021-43905CRITICAL9.6ten sam produkt

Microsoft Office app Remote Code Execution Vulnerability