CVE-2026-42824
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 94 - wyżej niż 94% wszystkich znanych CVE
Streszczenie
Podatność typu command injection w M365 Copilot umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć. Luka wynika z nieprawidłowej neutralizacji specjalnych elementów w komendach.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych danych, które mogą zostać przechwycone przez atakującego bez konieczności posiadania uprawnień.
Rekomendacja
Należy natychmiast zastosować aktualizację zabezpieczeń dostarczoną przez Microsoft dla M365 Copilot oraz ograniczyć dostęp do usługi tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an unauthorized attacker to disclose information over a network.

