Improper access control in M365 Copilot allows an authorized attacker to perform spoofing locally.

描述

Improper access control in M365 Copilot allows an authorized attacker to perform spoofing locally.

基本信息

类型
unreviewed
严重度
medium
GitHub 上的公告
打开公告 ↗
仓库公告
源代码
未指定
公开(公告)
2026-05-12 18:30:46 UTC
更新时间
2026-05-12 18:30:54 UTC
NVD 公开
2026-05-12

EPSS Score

Score Percentile
0.04% 10.76%

CVSS Scores

Base score Version Severity Vector
4.4 3.1
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N 点击展开
攻击向量 (AV:L)
需要先拿到目标主机上的执行面,或依赖其他用户误操作/恶意操作来触发。
攻击复杂度 (AC:L)
前置条件清晰,成功路径稳定,不依赖罕见竞态或苛刻环境。
权限要求 (PR:L)
一般用户权限即可,不必是管理员或 root。
用户交互 (UI:N)
无需受害者点击链接、放行宏或安装软件,攻击链可自动走完。
作用域 (S:U)
破坏局限在脆弱组件原本的安全权限与信任域之内。
机密性影响 (C:L)
可能外泄部分字段或样本数据,但难以形成“整库拖走”的局面。
完整性影响 (I:L)
能改局部记录或配置,但尚不致让整站/整库数据整体不可信。
可用性影响 (A:N)
不至于造成业务意义上的长时间停摆或灾难性性能崩塌。

Identifiers

CWEs

CWE id Name
CWE-284 Improper Access Control

References

cvelogic Threat Intelligence