何が起きたか
CVE-2026-41106(CVSS 9.3 Critical)はMicrosoft 365 Copilotのオープンリダイレクト脆弱性で、権限昇格を可能にしました。2026年7月2日に公開され、2026年7月4日のThreat-Modeling.comの脆弱性インテリジェンスレポートで、関連するExchange Onlineの欠陥(CVE-2026-54998)と共に目立って報道されました;Microsoftはそれをクラウド側でパッチしました。
なぜ重要か
M365 Copilotは最も広く配置されているエンタープライズGenAIアシスタントの1つです;信頼/リダイレクト処理の重大な権限昇格の欠陥 — すでに修復されていても — 巨大なエンタープライズユーザベース全体でアカウントまたはテナントレベルの権限昇格にチェーンできるAIコパイロットのオープンリダイレクトクラスのバグの可能性を実証します。
攻撃経路
M365 Copilotのオープンリダイレクト(「URLリダイレクト信頼されていないサイトへ」、CWE-601)により、権限のない攻撃者はネットワーク上で権限を昇格でき、ユーザとのやり取りが必要です(例えば、Copilotの信頼されたリダイレクトフローを通じてバウンスして攻撃者が制御する宛先に到達し、その後その信頼を活用して権限を昇格させるように作成されたリンクをクリック)。
影響を受けるシステム
Microsoft 365 Copilot(クラウドホスト、排他的にホストされたサービス)
緩和策
Microsoftによってサーバー側でパッチされました;顧客のアクションは不要です(公開/修正2026-07-02、Microsoftアドバイザリ GHSA-6xf4-794h-3f7w あたり)。