CRITICAL✓ PATCH🇬🇧 English

CVE-2025-59286

Command Injection w Microsoft 365 Copilot Chat umożliwiający ujawnienie informacji

CVSS 9.3v3.1pub. 2025-10-09upd. 2025-12-11

W Microsoft 365 Copilot Chat wykryto podatność typu command injection (CWE-77), która pozwala nieuwierzytelnionemu atakującemu na ujawnienie poufnych informacji przez sieć. Krytyczny poziom CVSS (9.3) wynika z braku wymagań uwierzytelnienia oraz szerokiego zasięgu ataku przez Internet.

Pokaż oryginał (EN)

Improper neutralization of special elements used in a command ('command injection') in Copilot allows an unauthorized attacker to disclose information over a network.

🤖 Analiza AI
Jak działa

Podatność polega na nieprawidłowej neutralizacji znaków specjalnych używanych w poleceniach (command injection) w komponencie Copilot. Atakujący może spreparować odpowiednie dane wejściowe przekazywane do podatnego mechanizmu przetwarzania poleceń bez konieczności posiadania konta lub uprawnień. Skuteczne wykorzystanie podatności prowadzi do nieautoryzowanego ujawnienia informacji w kontekście przekraczającym granice systemu (Scope: Changed).

Skutki

Nieuwierzytelniony atakujący zdalny może uzyskać nieautoryzowany dostęp do poufnych informacji przetwarzanych przez Microsoft 365 Copilot Chat, potencjalnie obejmujących dane użytkowników i organizacji. Podatność nie umożliwia bezpośredniej modyfikacji danych ani zakłócenia dostępności usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Microsoft Security Response Center pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59286. Jako środek uzupełniający zaleca się monitorowanie dostępu do usług Microsoft 365 Copilot Chat oraz ograniczenie ekspozycji na zewnętrzne dane wejściowe tam, gdzie jest to możliwe.

Kogo dotyczy

Microsoft 365 Copilot Chat — wersje wskazane w referencjach producenta (Microsoft Security Response Center).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
  • Microsoft 365 Copilot Chat

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-26137CRITICAL9.9PL ✓ten sam produkt

SSRF w Microsoft Exchange umożliwia eskalację uprawnień sieciowych

CVE-2025-59272CRITICAL9.3PL ✓ten sam produkt

Command injection w Microsoft 365 Copilot Chat umożliwiający ujawnienie informacji

CVE-2026-26129HIGH7.5ten sam produkt

Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an ...

CVE-2026-26164HIGH7.5ten sam produkt

Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an ...

CVE-2025-53787HIGH8.2ten sam produkt

Microsoft 365 Copilot BizChat Information Disclosure Vulnerability