M365 Copilot命令注入漏洞CVE-2025-59252技术细节解析

CVE-2025-59252 - 安全更新指南 - 微软 - M365 Copilot 欺骗漏洞

CVE-2025-59252 M365 Copilot 欺骗漏洞 最近更新

本页内容

CVE-2025-59252
订阅 (RSS, PowerShell, API, CSAF)
安全漏洞
发布日期：2025年10月9日
最后更新：2025年11月21日
分配 CNA：微软

此CVE记录的漏洞无需客户采取任何操作即可解决。 CVE.org链接：CVE-2025-59252

影响

类型：欺骗
最高严重性：严重

弱点

CWE：CWE-77：命令中使用的特殊元素的中和不正确（命令注入）

CVSS 来源：微软 向量字符串：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N/E:U/RL:O/RC:C

度量指标

CVSS:3.1：9.3 / 8.1
- 基础分数指标：9.3
- 时间分数指标：8.1

展开所有 | 折叠所有

基础分数指标（8项）

指标	值	描述
攻击向量	网络	易受攻击的组件绑定到网络堆栈，可能的攻击者范围超出其他列出选项，直至并包括整个互联网。此类漏洞通常称为“可远程利用”，可被认为是在一个或多个网络跃点（例如，跨越一个或多个路由器）的协议级别可利用的攻击。
攻击复杂度	低	不存在专门的访问条件或特殊情况。攻击者可以预期对易受攻击组件的攻击可重复成功。
所需权限	无	攻击者在攻击前未经授权，因此不需要任何对设置或文件的访问权限即可实施攻击。
用户交互	无	无需任何用户的任何交互即可利用易受攻击的系统。
影响范围	已更改	一个被成功利用的漏洞可以影响超出易受攻击组件安全管理机构安全范围之外的资源。在这种情况下，易受攻击的组件和受影响的组件是不同的，并由不同的安全管理机构管理。
机密性影响	高	存在完全的机密性丧失，导致受影响组件内的所有资源泄露给攻击者。或者，仅获取了一些受限信息的访问权限，但披露的信息造成了直接、严重的影响。
完整性影响	低	数据修改是可能的，但攻击者无法控制修改的后果，或者修改量有限。数据修改对受影响组件没有直接、严重的影响。
可用性影响	无	对受影响组件的可用性没有影响。

时间分数指标（3项）

指标	值	描述
漏洞利用代码成熟度	未经证实	没有公开可用的漏洞利用代码，或者漏洞利用是理论上的。
修复级别	官方修复	有完整的供应商解决方案可用。供应商已发布官方补丁，或已有升级可用。
报告可信度	已确认	存在详细报告，或者可以进行功能性复现（功能性漏洞利用可能提供这一点）。可获取源代码以独立验证研究的断言，或者受影响代码的作者或供应商已确认存在该漏洞。

有关这些指标定义的更多信息，请参见通用漏洞评分系统。

执行摘要 Copilot中命令使用的特殊元素中和不当（“命令注入”）允许未经授权的攻击者通过网络进行欺骗。

可利用性评估 以下表格提供了此漏洞在原始发布时的可利用性评估。

项目	评估
公开披露	否
已被利用	否
可利用性评估	利用可能性较低

常见问题 问：为什么没有指向更新的链接或必须采取的防护步骤说明？ 答：此漏洞已被微软完全缓解。该服务的用户无需采取任何行动。发布此CVE的目的是提供更高的透明度。有关更多信息，请参见《迈向更高的透明度：公布云服务CVE》。

致谢 Estevam Arantes (𝕏 @es7evam) with Microsoft 微软感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。有关更多信息，请参见致谢。

安全更新 要确定软件的支持生命周期，请参见微软支持生命周期。

发布日期 降序

发布日期	产品	平台	影响	最高严重性	文章	下载	内部版本号
2025年10月9日	Microsoft 365 Word Copilot	-	欺骗	严重	-	-	-
已加载所有结果（共1行）

免责声明 Microsoft 知识库中提供的信息“按原样”提供，不附带任何种类的担保。Microsoft 否认所有明示或暗示的担保，包括适销性和针对特定用途的适用性的担保。在任何情况下，Microsoft Corporation 或其供应商都不对任何损害承担任何责任，包括直接、间接、偶然、后果性、商业利润损失或特殊损害，即使 Microsoft Corporation 或其供应商已被告知可能发生此类损害。有些州不允许排除或限制对后果性或偶然损害的责任，因此上述限制可能不适用。

修订版本

版本	修订日期	描述
1.1	2025年11月21日	更新信息以包含CVSS分数。此仅为信息性更改。
1.0	2025年10月9日	信息发布。