文章总结： 微软披露Microsoft365Copilot中三个严重信息泄露漏洞（CVE-2026-26129等），涉及特殊元素处理不当导致敏感数据可能被网络攻击者窃取。漏洞已由微软在服务端修复无需用户操作，建议企业遵循最小权限原则管理Copilot数据访问权限以降低未来风险。 综合评分： 85 文章分类： 漏洞分析,威胁情报,云安全,数据安全,应用安全

Microsoft 365 Copilot 多个严重漏洞可导致敏感信息暴露

Guru Baran Guru Baran

代码卫士

2026年5月9日 17:50 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

微软披露了影响微软 Edge 中 Microsoft 365 Copilot 和 Copilot Chat的三个严重信息泄露漏洞（CVE-2026-26129、CVE-2026-26164和CVE-2026-33111），现均已修复，终端用户或管理员均无需任何操作。

CVE-2026-26129影响 Microsoft 365 Copilot 的 Business Chat 组件。该漏洞源自未正确处理下游组件输出中使用的特殊元素，可能使未授权攻击者通过网络泄露敏感信息。尽管该 CVE 尚未发布完整的 CVSS 指标，但其“严重”评级反映了 Copilot 在企业数据访问模型中所固有的高机密性风险。

CVE-2026-26164同样针对 M365 Copilot，归类为 CWE-74（下游组件输出中使用的特殊元素未正确中和——注入）。攻击向量为网络途径，无需权限或用户交互，对机密性影响为高。可利用性评估为“不太可能被利用”，攻击代码成熟度标记为“未经证实”。

CVE-2026-33111影响嵌入在 Microsoft Edge 中的 Copilot Chat，归类为 CWE-77（命令中使用的特殊元素未正确中和——命令注入）。该漏洞的CVSS 基础分为 7.5，时间分为 6.5，与 CVE-2026-26164 完全一致，攻击特征相同：网络可达、无需权限、无需用户交互、机密性影响为高。鉴于 Edge 在企业环境中的广泛部署，该问题尤为值得关注。

这三个漏洞共同凸显了 AI 驱动型生产力工具所特有的不断扩大的攻击面。

由于 M365 Copilot 会聚合并处理大量组织数据，包括电子邮件、文档和 Teams 对话，因此其在处理特殊元素或注入命令方面的弱点可能导致敏感信息跨信任边界泄露。在 Copilot 对企业数据源具有广泛访问权限的环境中，其影响可能包括知识产权、机密通信或受限内部记录被暴露。

这三个漏洞均为云端漏洞，微软已在服务层面部署了缓解措施。企业无需安装补丁或进行配置更改。不过，微软建议安全团队审查 Copilot 的数据访问权限，并遵循最小权限原则，降低未来类似漏洞带来的暴露风险。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Microsoft 365 Copilot 中存在零点击AI数据泄露漏洞

Microsoft 365中存在117个漏洞，微软临时禁用SketchUp

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

原文链接

Critical Microsoft 365 Copilot Vulnerabilities Expose sensitive Information

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Guru Baran Guru Baran《Microsoft 365 Copilot 多个严重漏洞可导致敏感信息暴露》