Kerentanan  ·  2026-07-06

Microsoft 365 Copilot — Open Redirect Memungkinkan Eskalasi Privilese Tidak Sah

KerentananHigh dampakGlobalCVE-2026-41106
CVE-2026-41106 (CVSS 9.3 Critical) adalah kerentanan open-redirect dalam Microsoft 365 Copilot yang memungkinkan eskalasi privilese. Dipublikasikan 2 Juli 2026 dan dibahas secara menonjol dalam Laporan Intelijen Kerentanan Threat-Modeling.com tanggal 4 Juli 2026 bersama dengan kerentanan Exchange Online pendamping (CVE-2026-54998); Microsoft menambalnya di sisi cloud.
M365 Copilot adalah salah satu asisten GenAI perusahaan yang paling banyak diterapkan; kerentanan eskalasi privilese kritis dalam penanganan kepercayaan/redirect-nya — meskipun sudah diperbaiki — mengilustrasikan bagaimana bug kelas open-redirect dalam copilot AI dapat dirantaikan menjadi eskalasi privilese tingkat akun atau tenant di seluruh basis pengguna perusahaan besar.
Open redirect ('URL Redirection to Untrusted Site', CWE-601) dalam M365 Copilot memungkinkan penyerang yang tidak sah untuk meningkatkan privilese melalui jaringan, memerlukan interaksi pengguna (misalnya, mengklik tautan yang dibuat yang memantul melalui alur redirect terpercaya Copilot ke tujuan yang dikontrol penyerang, kemudian memanfaatkan kepercayaan itu untuk meningkatkan privilese).
Microsoft 365 Copilot (cloud-hosted, layanan hosted-exclusively)
Ditambal di sisi server oleh Microsoft; tidak ada tindakan pelanggan yang diperlukan (dipublikasikan/diperbaiki 2026-07-02, per penasihat Microsoft GHSA-6xf4-794h-3f7w).
NVD CVE-2026-41106Threat-Modeling.com — Exchange Online + 365 Copilot Critical Privilege Escalation
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →