Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-06696

Опубликовано: 11 июн. 2025
Источник: fstec
CVSS3: 9.3
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость интеллектуального виртуального помощника Microsoft 365 Copilot связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Вендор

Microsoft Corp.

Наименование ПО

Microsoft 365 Copilot

Версия ПО

- (Microsoft 365 Copilot)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp. Windows -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности использования виртуального помощника Microsoft 365 Copilot;
- использование межсетевого экрана уровня приложений (WAF);
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- использование DLP-систем для контроля действий пользователей с целью предотвращения утечки защищаемой информации.
Использование рекомендаций:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32711

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 29%
0.00101
Низкий

9.3 Critical

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-32711

CVSS3: 9.3
nvd
7 дней назад

Ai command injection in M365 Copilot allows an unauthorized attacker to disclose information over a network.

msrc логотип

CVE-2025-32711

msrc
8 дней назад

M365 Copilot Information Disclosure Vulnerability

github логотип

GHSA-h2w9-p5qf-qmrh

CVSS3: 9.3
github
7 дней назад

Ai command injection in M365 Copilot allows an unauthorized attacker to disclose information over a network.

EPSS

Процентиль: 29%
0.00101
Низкий

9.3 Critical

CVSS3

8.5 High

CVSS2