CVE-2025-59286 - 安全更新指南 - Microsoft - Copilot 欺骗漏洞
您需要启用 JavaScript 才能运行此应用程序。
CVE-2025-59286 Copilot 欺骗漏洞 最近更新
CVE-2025-59286 安全漏洞 发布日期: 2025年10月9日 最后更新: 2025年11月21日 分配 CNA: Microsoft 本 CVE 记录的漏洞无需客户操作即可解决。 CVE.org 链接: CVE-2025-59286
影响 欺骗 最高严重性 严重 弱点 CWE-77:命令中使用的特殊元素未正确中和(“命令注入”) CVSS 来源 Microsoft 向量字符串 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N/E:U/RL:O/RC:C
指标 CVSS:3.1 9.3 / 8.1
基本评分指标:9.3 / 时间性评分指标:8.1 展开全部 | 折叠全部
| 指标 | 值 |
|---|---|
| 基本评分指标 (8) | |
| 攻击向量 | 网络 |
| 攻击复杂性 | 低 |
| 所需权限 | 无 |
| 用户交互 | 无 |
| 范围 | 已更改 |
| 机密性影响 | 高 |
| 完整性影响 | 低 |
| 可用性影响 | 无 |
| 时间性评分指标 (3) | |
| 利用代码成熟度 | 未经验证 |
| 修复级别 | 官方修复 |
| 报告可信度 | 已确认 |
请参阅通用漏洞评分系统以获取有关这些指标定义的更多信息。
执行摘要 Copilot 中命令使用的特殊元素未正确中和(“命令注入”),使得未经授权的攻击者能够通过网络执行欺骗。
可利用性 下表提供了本漏洞在最初发布时的可利用性评估。 公开披露: 否 已利用: 否 可利用性评估: 利用可能性较低
常见问题 为什么没有指向更新的链接或必须采取的防护步骤说明? 此漏洞已由 Microsoft 完全缓解。该服务的用户无需采取任何操作。此 CVE 的目的是提供更高的透明度。 请参阅《迈向更高的透明度:公布云服务 CVE》以获取更多信息。
致谢 Estevam Arantes 𝕏 @es7evam with Microsoft Microsoft 认可安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。请参阅致谢以获取更多信息。
安全更新 要确定软件的支持生命周期,请参阅 Microsoft 支持生命周期。
发布日期 降序 编辑列 | 下载 | 过滤器 产品系列 | 最高严重性 | 影响 | 平台 | 清除
| 发布日期 | 产品 | 平台 | 影响 | 最高严重性 | 文章 | 下载 | 内部版本号 |
|---|---|---|---|---|---|---|---|
| 2025年10月9日 | Microsoft 365 Copilot’s Business Chat | - | 欺骗 | 严重 | - | - | - |
已加载所有结果 已加载所有 1 行
免责声明 Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。Microsoft 否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation 或其供应商都不对任何损害承担任何责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使 Microsoft Corporation 或其供应商已被告知此类损害的可能性。有些州不允许排除或限制对附带或后果性损害的赔偿责任,因此上述限制可能不适用。
修订版本
| 版本 | 修订 | 日期 | 描述 |
|---|---|---|---|
| 1.1 | Nov 21, 2025 | 更新信息以包含 CVSS 分数。仅为信息性变更。 | |
| 1.0 | Oct 9, 2025 | 信息发布。 |