脆弱性  ·  2026-07-17

Kiota コード生成器 — プラグインマニフェストインジェクション、悪意あるMicrosoft 365 Copilot/Teams プラグインを有効にする

脆弱性High 影響度GlobalCVE-2026-59864
Kiota、Microsoft の OpenAPI ベースのコード/プラグイン生成器は、生成された Microsoft 365 Copilot および Teams プラグインマニフェストファイルに埋め込む前に OpenAPI 仕様のカスタム AI 拡張フィールドをサニタイゼーションしませんでした。
Kiota を通じて取り込まれた汚染された OpenAPI 仕様は、悪意あるコンテンツを Microsoft 365 Copilot ユーザーに配布された AI プラグインマニフェストに直接挿入でき、サードパーティ API 定義からエンタープライズ Copilot プラグインエコシステムへのサプライチェーンパスを表しています。
`kiota plugin add`/`kiota plugin generate` コマンド(`-t APIPlugin` を使用)は、攻撃者制御の static_template.file 値を x-ai-adaptive-card および x-ai-capabilities OpenAPI 拡張から生成された Microsoft 365 Copilot および Teams プラグインマニフェストにサニタイゼーションなしで発行し、悪意あるOpenAPI 仕様が生成された AI プラグインパッケージにコンテンツを挿入できるようにしました。
Microsoft Kiota 1.32.5 前
Kiota 1.32.5 以降にアップグレードしてください。
CVE Record CVE-2026-59864
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →