Kerentanan  ·  2026-07-17

Kiota Code Generator — Injeksi Plugin Manifest Memungkinkan Plugin Microsoft 365 Copilot/Teams Jahat

KerentananHigh dampakGlobalCVE-2026-59864
Kiota, generator kode/plugin berbasis OpenAPI milik Microsoft, gagal untuk membersihkan bidang AI-extension khusus dari spesifikasi OpenAPI sebelum menanamkannya ke dalam file manifest plugin Microsoft 365 Copilot dan Teams yang dihasilkan.
Spesifikasi OpenAPI yang dipoisoning dan diambil melalui Kiota dapat menyuntikkan konten jahat langsung ke dalam manifest plugin AI yang didistribusikan kepada pengguna Microsoft 365 Copilot, yang merepresentasikan jalur rantai pasokan dari definisi API pihak ketiga ke dalam ekosistem plugin Copilot perusahaan.
Perintah `kiota plugin add`/`kiota plugin generate` (dengan `-t APIPlugin`) memancarkan nilai static_template.file yang dikontrol penyerang dari ekstensi OpenAPI x-ai-adaptive-card dan x-ai-capabilities langsung ke dalam manifest plugin Microsoft 365 Copilot dan Teams yang dihasilkan tanpa pembersihan, yang memungkinkan spesifikasi OpenAPI jahat untuk menyuntikkan konten ke dalam paket plugin AI yang dihasilkan.
Microsoft Kiota sebelum 1.32.5
Tingkatkan ke Kiota 1.32.5 atau yang lebih baru.
CVE Record CVE-2026-59864
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →