CVE-2025-59272 - 安全更新指南 - Microsoft - Copilot 欺骗漏洞
漏洞概述
CVE ID: CVE-2025-59272 漏洞类型: 欺骗漏洞 发布日期: 2025年10月9日 最后更新: 2025年11月21日 分配 CNA: Microsoft
此CVE记录的漏洞无需客户采取任何解决措施。
影响评估
影响类型: 欺骗 最高严重等级: 严重 弱点类型: CWE-77: 命令中使用的特殊元素的不当中和(“命令注入”)
CVSS 评分
CVSS 来源: Microsoft 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N/E:U/RL:O/RC:C CVSS 3.1 评分: 9.3 / 8.1
基础评分指标
| 指标 | 值 | 描述 |
|---|---|---|
| 攻击向量 | 网络 | 易受攻击的组件绑定到网络堆栈,可能的攻击者范围扩展到整个互联网 |
| 攻击复杂度 | 低 | 不存在专门的访问条件或减轻情况,攻击者可预期对易受攻击组件的可重复成功 |
| 所需权限 | 无 | 攻击者在攻击前未经授权,因此不需要任何设置或文件访问权限 |
| 用户交互 | 无 | 无需任何用户交互即可利用易受攻击的系统 |
| 范围 | 已更改 | 被利用的漏洞可能影响超出易受攻击组件安全范围管理的资源 |
| 机密性影响 | 高 | 存在完全的机密性损失,导致受影响组件内的所有资源都泄露给攻击者 |
| 完整性影响 | 低 | 可以修改数据,但攻击者无法控制修改后果,或修改量有限 |
| 可用性影响 | 无 | 对受影响组件的可用性没有影响 |
时间评分指标
| 指标 | 值 | 描述 |
|---|---|---|
| 漏洞利用代码成熟度 | 未经验证 | 没有公开可用的漏洞利用代码,或者漏洞利用是理论性的 |
| 修复级别 | 官方修复 | 提供了完整的供应商解决方案,供应商已发布官方补丁或升级可用 |
| 报告可信度 | 已确认 | 存在详细报告,或可能进行功能复现,源代码可用于独立验证 |
执行摘要
Copilot中命令使用的特殊元素的不当中和(“命令注入”)允许未经授权的攻击者通过网络执行欺骗攻击。
可利用性评估
在最初发布时对此漏洞的可利用性评估:
| 评估项 | 状态 |
|---|---|
| 公开披露 | 否 |
| 已利用 | 否 |
| 可利用性评估 | 利用可能性较低 |
常见问题解答
为什么没有指向更新或必须采取的保护步骤的链接?
此漏洞已被微软完全缓解。该服务的用户无需采取任何措施。此CVE的目的是提供进一步的透明度。
致谢
Estevam Arantes 𝕏 @es7evam with Microsoft
微软认可安全社区中那些通过协调漏洞披露帮助我们保护客户的努力。
安全更新
要确定软件的支持生命周期,请参阅Microsoft支持生命周期。
修订记录
| 版本 | 修订 | 日期 | 描述 |
|---|---|---|---|
| 1.1 | 2025年11月21日 | 更新信息以包含CVSS评分。这仅是信息性更改。 | |
| 1.0 | 2025年10月9日 | 信息发布。 |