Katalog CVE

CVE-2025-66389

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.85%

Percentyl 54 - wyżej niż 54% wszystkich znanych CVE

Streszczenie

Podatność w GitHub Copilot 1.372.0 umożliwia dostęp do systemu plików poza folderem roboczym bez zgody użytkownika poprzez parametr URI w funkcji fetch_webpage. Może to prowadzić do wycieku danych w przypadku pośredniego wstrzyknięcia promptu.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego odczytu plików poza obszarem roboczym, co w połączeniu z atakami typu prompt injection może skutkować kradzieżą wrażliwych danych organizacji.

Rekomendacja

Zaleca się natychmiastową aktualizację GitHub Copilot do wersji nowszej niż 1.372.0 oraz wdrożenie mechanizmów walidacji URI w funkcji fetch_webpage.

Oryginalny opis (angielski, źródło NVD)

GitHub Copilot 1.372.0 allows filesystem access outside of a workspace folder (without user approval) via a file-handler URI parameter to fetch_webpage. Therefore, exfiltration could occur if there is indirect prompt injection.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS