취약점  ·  2026-07-06

Microsoft 365 Copilot — 오픈 리다이렉트가 무단 권한 상승 활성화

취약점High 영향도GlobalCVE-2026-41106
CVE-2026-41106(CVSS 9.3 심각)은 권한 상승을 허용한 Microsoft 365 Copilot의 오픈 리다이렉트 취약점입니다. 2026년 7월 2일 발행되었으며 2026년 7월 4일 Threat-Modeling.com 취약점 인텔리전스 보고서에서 동반 Exchange Online 결함(CVE-2026-54998)과 함께 두드러지게 다루어졌습니다; Microsoft는 이를 클라우드 측면에서 패치했습니다.
M365 Copilot은 가장 널리 배포된 엔터프라이즈 생성형 AI 어시스턴트 중 하나입니다; 신뢰/리다이렉트 처리의 심각한 권한 상승 결함 — 이미 해결되었음에도 불구하고 — AI 코파일럿의 오픈 리다이렉트 클래스 버그가 대규모 엔터프라이즈 사용자 기반 전체에서 계정 또는 테넌트 수준 권한 상승으로 연쇄될 수 있는 방법을 설명합니다.
M365 Copilot의 오픈 리다이렉트('신뢰할 수 없는 사이트로의 URL 리다이렉션', CWE-601)는 무단 공격자가 네트워크를 통해 권한을 상승시킬 수 있으며, 사용자 상호작용이 필요합니다(예: Copilot의 신뢰할 수 있는 리다이렉트 흐름을 통해 바운스되는 세공된 링크를 클릭한 후 공격자 제어 대상으로 이동한 후, 그 신뢰를 활용하여 권한을 상승시킵니다).
Microsoft 365 Copilot(클라우드 호스팅, 전용 호스팅 서비스)
Microsoft에서 서버 측으로 패치됨; 고객 조치 불필요(2026-07-02 발행/수정됨, Microsoft 권고 GHSA-6xf4-794h-3f7w 참조).
NVD CVE-2026-41106Threat-Modeling.com — Exchange Online + 365 Copilot Critical Privilege Escalation
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →