描述
Improper access control in M365 Copilot allows an authorized attacker to perform spoofing locally.
基本信息
- 类型
- unreviewed
- 严重度
- medium
- GitHub 上的公告
- 打开公告 ↗
- 仓库公告
- —
- 源代码
- 未指定
- 公开(公告)
- 2026-05-12 18:30:46 UTC
- 更新时间
- 2026-05-12 18:30:54 UTC
- NVD 公开
- 2026-05-12
EPSS Score
| Score |
Percentile |
|
0.04%
|
10.76% |
CVSS Scores
| Base score |
Version |
Severity |
Vector |
|
4.4
|
3.1 |
—
|
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
点击展开
- 攻击向量 (AV:L)
- 需要先拿到目标主机上的执行面,或依赖其他用户误操作/恶意操作来触发。
- 攻击复杂度 (AC:L)
- 前置条件清晰,成功路径稳定,不依赖罕见竞态或苛刻环境。
- 权限要求 (PR:L)
- 一般用户权限即可,不必是管理员或 root。
- 用户交互 (UI:N)
- 无需受害者点击链接、放行宏或安装软件,攻击链可自动走完。
- 作用域 (S:U)
- 破坏局限在脆弱组件原本的安全权限与信任域之内。
- 机密性影响 (C:L)
- 可能外泄部分字段或样本数据,但难以形成“整库拖走”的局面。
- 完整性影响 (I:L)
- 能改局部记录或配置,但尚不致让整站/整库数据整体不可信。
- 可用性影响 (A:N)
- 不至于造成业务意义上的长时间停摆或灾难性性能崩塌。
|
CWEs
| CWE id |
Name |
|
CWE-284
|
Improper Access Control |
cvelogic
Threat Intelligence