취약점  ·  2026-07-17

Kiota 코드 생성기 — 플러그인 매니페스트 주입으로 악성 Microsoft 365 Copilot/Teams 플러그인 활성화

취약점High 영향도GlobalCVE-2026-59864
Kiota(Microsoft의 OpenAPI 기반 코드/플러그인 생성기)는 생성된 Microsoft 365 Copilot 및 Teams 플러그인 매니페스트 파일에 OpenAPI 사양에서 사용자 정의 AI 확장 필드를 sanitize 하지 못했습니다.
Kiota를 통해 수집된 중독된 OpenAPI 사양은 Microsoft 365 Copilot 사용자에게 배포된 AI 플러그인 매니페스트에 직접 악성 콘텐츠를 주입할 수 있으며, 타사 API 정의에서 엔터프라이즈 Copilot 플러그인 생태계로의 공급망 경로를 나타냅니다.
`kiota plugin add`/`kiota plugin generate` 명령(with `-t APIPlugin`)은 x-ai-adaptive-card 및 x-ai-capabilities OpenAPI 확장에서 공격자 제어 static_template.file 값을 sanitization 없이 생성된 Microsoft 365 Copilot 및 Teams 플러그인 매니페스트에 방출했으며, 악성 OpenAPI 사양이 생성된 AI 플러그인 패키지에 콘텐츠를 주입할 수 있게 했습니다.
Microsoft Kiota 1.32.5 이전
Kiota 1.32.5 이상으로 업그레이드하세요.
CVE Record CVE-2026-59864
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →