CRITICAL✓ PATCH🇬🇧 English

CVE-2026-41090

Command injection w Microsoft Copilot umożliwiający manipulację danymi

CVSS 9.3v3.1pub. 2026-05-22upd. 2026-05-27

Podatność typu command injection w Microsoft Copilot pozwala nieuwierzytelnionemu atakującemu na manipulację danymi i działaniem usługi przez sieć. Wysoki wynik CVSS 9.3 (CRITICAL) oraz brak wymaganych uprawnień czynią tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

Improper neutralization of special elements used in a command ('command injection') in Microsoft Copilot allows an unauthorized attacker to perform tampering over a network.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w poleceniach przetwarzanych przez Microsoft Copilot (CWE-77 — command injection). Atakujący, skłaniając użytkownika do interakcji (UI:R), może przesłać spreparowane dane wejściowe zawierające złośliwe elementy, które są wykonywane w kontekście podatnej aplikacji. Zakres oddziaływania wykracza poza bezpośredni komponent (S:C — zmiana zakresu), co zwiększa potencjalne skutki ataku.

Skutki

Atakujący może dokonać nieautoryzowanej manipulacji (tampering) danymi lub zachowaniem usługi Microsoft Copilot, narażając na wysoki poziom naruszenia poufności (C:H) i integralności (I:H) przetwarzanych informacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w Microsoft Security Response Center (MSRC) pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41090

Kogo dotyczy

Microsoft Copilot — konkretne wersje wskazane w referencjach producenta (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41090)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Microsoft 365 Copilot

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-54130CRITICAL9.8ten sam produkt

Missing authentication for critical function in M365 Copilot allows an unauthorized attacker to disclose infor...

CVE-2026-33102CRITICAL9.3PL ✓ten sam produkt

Open Redirect w Microsoft 365 Copilot umożliwia eskalację uprawnień

CVE-2026-24307CRITICAL9.3PL ✓ten sam produkt

Nieodpowiednia walidacja danych wejściowych w Microsoft 365 Copilot — ujawnienie informacji

CVE-2025-32711CRITICAL9.3PL ✓ten sam produkt

AI command injection w Microsoft 365 Copilot — ujawnienie informacji

CVE-2021-43905CRITICAL9.6ten sam produkt

Microsoft Office app Remote Code Execution Vulnerability