Se ha identificado una vulnerabilidad de seguridad crítica en Microsoft 365 Copilot, registrada como CVE-2026-24307, que podría permitir a un atacante no autorizado divulgar información sensible a través de la red debido a una validación incorrecta del tipo de entrada de datos. Esta vulnerabilidad forma parte de las divulgaciones de seguridad recientes del proveedor, y representa un riesgo significativo para los entornos corporativos que utilizan Copilot.
Análisis
CVE-2026-24307 permite que un atacante con acceso a la red envíe una solicitud diseñada para explotar una falla en la validación de entradas de Copilot. Si la petición es procesada, el sistema podría devolver información interna o sensible. Así pues, se trata de un vector de divulgación de información donde los datos confidenciales del servicio pueden filtrarse sin comprometer directamente el control del sistema.
El ataque no requiere credenciales ni permisos especiales, sino que un actor remoto puede iniciar la explotación únicamente a través de la red, sin necesidad de acceso físico. Sin embargo, la explotación efectiva depende de cierta interacción del usuario, ya que el fallo solo se activa cuando Copilot procesa la entrada manipulada dentro de un flujo de interacción válido.
Recursos afectados
- Microsoft 365 Copilot — versiones anteriores a las que contienen los parches de seguridad correspondientes.
Recomendaciones
- Consultar la guía de actualizaciones de seguridad de Microsoft y confirmar que los parches correspondientes a CVE-2026-24307 estén aplicados en su tenant/instancia.
- Evaluar restricciones y permisos de acceso a datos sensibles en Copilot para minimizar la exposición.
Referencias
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24307
- https://www.cvedetails.com/cve/CVE-2026-24307/
- https://www.ccn-cert.cni.es/ca/seguretat-al-dia/vulnerabilitats/view/47684.html
Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.
Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)