描述
Improper access control in M365 Copilot allows an authorized attacker to perform spoofing locally.
基本資訊
- 類型
- unreviewed
- 嚴重度
- medium
- GitHub 上的公告
- 開啟公告 ↗
- 儲存庫公告
- —
- 原始碼
- 未指定
- 公開(公告)
- 2026-05-12 18:30:46 UTC
- 更新時間
- 2026-05-12 18:30:54 UTC
- NVD 公開
- 2026-05-12
EPSS Score
| Score |
Percentile |
|
0.04%
|
10.76% |
CVSS Scores
| Base score |
Version |
Severity |
Vector |
|
4.4
|
3.1 |
—
|
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
點擊展開
- 攻擊向量 (AV:L)
- 需先取得主機上的執行面,或仰賴其他使用者誤操作/惡意操作才會觸發。
- 攻擊複雜度 (AC:L)
- 前置條件清楚,成功路徑穩定,不必仰賴罕見競態或極端環境。
- 權限需求 (PR:L)
- 一般使用者權限即可,不必是管理員或 root。
- 使用者互動 (UI:N)
- 不必受害者點連結、放行巨集或安裝軟體,攻擊鏈可自動走完。
- 作用域 (S:U)
- 破壞局限在脆弱元件原本的安全權限與信任域之內。
- 機密性影響 (C:L)
- 可能外洩部分欄位或樣本資料,但難以形成「整批拖走」的局面。
- 完整性影響 (I:L)
- 能改局部紀錄或設定,但尚不致讓整站/整庫資料整體不可信。
- 可用性影響 (A:N)
- 不至於造成業務意義上的長時間停擺或災難性效能崩塌。
|
CWEs
| CWE id |
Name |
|
CWE-284
|
Improper Access Control |
cvelogic
Threat Intelligence