CVE-2026-41090

Critical(9.3)

CVE-2026-41090 — Microsoft Copilot コマンドインジェクション

公開日: 2026-05-29データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Microsoft Copilot	Microsoft	修正済み（MSRC参照）

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

1Microsoftセキュリティ更新プログラムの適用状況を確認する
2クラウドサービスのため、Microsoftによるサーバサイド修正が完了しているかMSRCを確認する
3組織内でのCopilot利用状況とアクセス制御を確認する

影響対象

Microsoft Copilot利用者・組織

補足

-クラウドサービスのため、エンドユーザによる直接のパッチ適用は不要な場合が多い
-詳細な影響範囲はMSRCの情報を参照すること

CVEMicrosoftCopilotコマンドインジェクションRCE

概要

Microsoft Copilot において、特殊文字の無効化が不適切なコマンドインジェクション脆弱性（CVSS 9.3）が発見されました。未認証の攻撃者がネットワーク越しに任意のコマンドを実行できます（CWE-77）。

CVSSベクトル

指標	値
Attack Vector	Network
Attack Complexity	Low
Privileges Required	None
User Interaction	None
CVSSスコア	9.3 (Critical)

影響を受けるソフトウェア

製品	備考
Microsoft Copilot	Microsoft Security Update参照

修正バージョンと回避策

対策: Microsoft Security Response Center（MSRC）が提供するセキュリティ更新プログラムを適用する
Copilotはクラウドサービスのため、Microsoftによるサーバサイドでの修正が主な対策となります

関連リンク

NVD
MSRC

データソース: NVD (NIST), Microsoft Security Response Center AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41090

MSRC:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41090

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。