Apa yang terjadi
CVE-2026-41106 (CVSS 9.3 Critical) adalah kerentanan open-redirect dalam Microsoft 365 Copilot yang memungkinkan eskalasi privilese. Dipublikasikan 2 Juli 2026 dan dibahas secara menonjol dalam Laporan Intelijen Kerentanan Threat-Modeling.com tanggal 4 Juli 2026 bersama dengan kerentanan Exchange Online pendamping (CVE-2026-54998); Microsoft menambalnya di sisi cloud.
Mengapa penting
M365 Copilot adalah salah satu asisten GenAI perusahaan yang paling banyak diterapkan; kerentanan eskalasi privilese kritis dalam penanganan kepercayaan/redirect-nya — meskipun sudah diperbaiki — mengilustrasikan bagaimana bug kelas open-redirect dalam copilot AI dapat dirantaikan menjadi eskalasi privilese tingkat akun atau tenant di seluruh basis pengguna perusahaan besar.
Vektor serangan
Open redirect ('URL Redirection to Untrusted Site', CWE-601) dalam M365 Copilot memungkinkan penyerang yang tidak sah untuk meningkatkan privilese melalui jaringan, memerlukan interaksi pengguna (misalnya, mengklik tautan yang dibuat yang memantul melalui alur redirect terpercaya Copilot ke tujuan yang dikontrol penyerang, kemudian memanfaatkan kepercayaan itu untuk meningkatkan privilese).
Sistem yang terdampak
Microsoft 365 Copilot (cloud-hosted, layanan hosted-exclusively)
Mitigasi
Ditambal di sisi server oleh Microsoft; tidak ada tindakan pelanggan yang diperlukan (dipublikasikan/diperbaiki 2026-07-02, per penasihat Microsoft GHSA-6xf4-794h-3f7w).