CVE-2025-66389
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 54 - wyżej niż 54% wszystkich znanych CVE
Streszczenie
Podatność w GitHub Copilot 1.372.0 umożliwia dostęp do systemu plików poza folderem roboczym bez zgody użytkownika poprzez parametr URI w funkcji fetch_webpage. Może to prowadzić do wycieku danych w przypadku pośredniego wstrzyknięcia promptu.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego odczytu plików poza obszarem roboczym, co w połączeniu z atakami typu prompt injection może skutkować kradzieżą wrażliwych danych organizacji.
Rekomendacja
Zaleca się natychmiastową aktualizację GitHub Copilot do wersji nowszej niż 1.372.0 oraz wdrożenie mechanizmów walidacji URI w funkcji fetch_webpage.
Oryginalny opis (angielski, źródło NVD)
GitHub Copilot 1.372.0 allows filesystem access outside of a workspace folder (without user approval) via a file-handler URI parameter to fetch_webpage. Therefore, exfiltration could occur if there is indirect prompt injection.

