CVE-2026-24307

M365 Copilot Information Disclosure Vulnerability

CVSS 9.3 CRITICALEPSS 0.8%CWE-1287

En resumen

Microsoft 365 Copilot no valida correctamente ciertos tipos de entrada del usuario, permitiendo que atacantes no autorizados accedan a información sensible a través de la red. Esta vulnerabilidad puede exponer datos confidenciales que deberían estar protegidos.

Detalle técnico

La vulnerabilidad implica validación insuficiente de entrada en el mecanismo de procesamiento de inputs del M365 Copilot, permitiendo que un atacante no autenticado, a través de la red, extraiga información sensible mediante solicitudes manipuladas. La validación inadecuada de un tipo de entrada especificado permite eludir controles de acceso, resultando en divulgación no autorizada de información sin requerir interacción del usuario.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper validation of specified type of input in M365 Copilot allows an unauthorized attacker to disclose information over a network.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N/E:U/RL:O/RC:C

Productos afectados

Microsoft · Microsoft 365 Copilot

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24307