Vulnerabilidades críticas en Copilot 2026
Vulnerabilidad - 13/02
Introducción
CVE‑2026‑24307 es una vulnerabilidad de divulgación de información en M365 Copilot que ocurre cuando el chat no valida adecuadamente un determinado tipo de entrada recibida desde la red. Cuando recibe un dato malformado o diseñado específicamente para explotar esta falta de validación, el sistema procesa la petición y devuelve datos internos que no deberían ser accesibles de forma externa.
Análisis
CVE-2026-24307 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N - 9,3
CVE-2026-24307 permite que un atacante con acceso a la red envíe una solicitud diseñada para explotar una falla en la validación de entradas de Copilot. Si la petición es procesada, el sistema podría devolver información interna o sensible. Así pues, se trata de un vector de divulgación de información donde los datos confidenciales del servicio pueden filtrarse sin comprometer directamente el control del sistema.
El ataque no requiere credenciales ni permisos especiales, sino que un actor remoto puede iniciar la explotación únicamente a través de la red, sin necesidad de acceso físico. Sin embargo, la explotación efectiva depende de cierta interacción del usuario, ya que el fallo solo se activa cuando Copilot procesa la entrada manipulada dentro de un flujo de interacción válido.
Versiones afectadas
Microsoft 365 Copilot.
Recomendaciones
Instalar el parche publicado por Microsoft.
Workarounds
No hay workarounds para esta vulnerabilidad.