Microsoft - CVE-2026-26133
Date de publication :
Il s'agit d'une vulnérabilité dans Microsoft 365 Copilot.
Microsoft 365 Copilot est un assistant basé sur l’IA intégré aux applications Microsoft 365 pour automatiser la rédaction, l’analyse et la gestion des données.
Le système traite des contenus externes malveillants intégrés dans des messages ou documents qui sont interprétés par le moteur d’IA. L’attaquant injecte des instructions cachées dans des contenus comme des emails. Ces instructions sont interprétées comme légitimes par le modèle. Le comportement généré peut produire des réponses manipulées ou des liens trompeurs présentés comme fiables. L’exploitation repose sur une interaction utilisateur avec ces contenus générés.
Elle permet la divulgation d’informations sensibles vers un attaquant distant.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Exploitation
CWE-77 : Improper Neutralization of Special Elements used in a Command (Command Injection)
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Microsoft 365 Copilot versions non spécifiées par l’éditeur
• Microsoft applications mobiles intégrant Copilot versions antérieures aux correctifs de mars 2026
Solutions ou recommandations
• Applications Microsoft 365 mobiles mises à jour de mars 2026 et supérieures