A Microsoft corrigiu três vulnerabilidades críticas que afetavam o Microsoft 365 Copilot e o Copilot Chat integrado ao Microsoft Edge, com risco de exposição de informações sensíveis em ambientes corporativos.
As falhas foram divulgadas em 7 de maio de 2026 e são rastreadas como CVE-2026-26129, CVE-2026-26164 e CVE-2026-33111. Todas foram classificadas como problemas de divulgação de informações e já foram mitigadas pela Microsoft no lado do serviço.
A CVE-2026-26129 afeta o Business Chat do Microsoft 365 Copilot. O problema envolve neutralização inadequada de elementos especiais em saídas processadas por componentes posteriores, o que poderia permitir vazamento de dados pela rede.
A CVE-2026-26164 também atinge o Microsoft 365 Copilot e foi associada a uma falha de injeção. O vetor de ataque é remoto, não exige privilégios nem interação do usuário e tem alto impacto sobre confidencialidade.
Já a CVE-2026-33111 afeta o Copilot Chat no Microsoft Edge. A vulnerabilidade envolve neutralização inadequada de elementos usados em comandos, caracterizando risco de command injection com possibilidade de exposição de informações.
O caso chama atenção porque ferramentas de IA corporativa acessam e processam grandes volumes de dados internos, incluindo e-mails, documentos, conversas do Teams e registros empresariais. Uma falha nesse tipo de integração pode romper limites de confiança entre usuários, aplicações e fontes de dados.
A Microsoft informou que nenhuma das três vulnerabilidades havia sido divulgada publicamente ou explorada ativamente antes da publicação dos avisos.
