Podatność typu command injection w Microsoft Copilot pozwala nieuwierzytelnionemu atakującemu na manipulację danymi i działaniem usługi przez sieć. Wysoki wynik CVSS 9.3 (CRITICAL) oraz brak wymaganych uprawnień czynią tę lukę szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Improper neutralization of special elements used in a command ('command injection') in Microsoft Copilot allows an unauthorized attacker to perform tampering over a network.
Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w poleceniach przetwarzanych przez Microsoft Copilot (CWE-77 — command injection). Atakujący, skłaniając użytkownika do interakcji (UI:R), może przesłać spreparowane dane wejściowe zawierające złośliwe elementy, które są wykonywane w kontekście podatnej aplikacji. Zakres oddziaływania wykracza poza bezpośredni komponent (S:C — zmiana zakresu), co zwiększa potencjalne skutki ataku.
Atakujący może dokonać nieautoryzowanej manipulacji (tampering) danymi lub zachowaniem usługi Microsoft Copilot, narażając na wysoki poziom naruszenia poufności (C:H) i integralności (I:H) przetwarzanych informacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w Microsoft Security Response Center (MSRC) pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41090
Microsoft Copilot — konkretne wersje wskazane w referencjach producenta (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41090)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NMicrosoft 365 Copilot
APPMicrosoftwszystkie wersje
Powiązane podatności
Missing authentication for critical function in M365 Copilot allows an unauthorized attacker to disclose infor...
Open Redirect w Microsoft 365 Copilot umożliwia eskalację uprawnień
Nieodpowiednia walidacja danych wejściowych w Microsoft 365 Copilot — ujawnienie informacji
AI command injection w Microsoft 365 Copilot — ujawnienie informacji
Microsoft Office app Remote Code Execution Vulnerability