Microsoft 365, Entra & Copilot: CVE-overzicht mei–juni 2026
Naast de juli-ronde die ik eerder samenvatte, verscheen in mei–juni 2026 een bredere golf Microsoft-cloud-CVE’s. Het zijn cloud-side issues die Microsoft zelf verhelpt — geen lokale patch nodig — maar ze schetsen het aanvalsoppervlak van M365 goed.
De opvallendste
- CVE-2026-45497 — M365 Copilot Remote Code Execution: command injection (improper neutralization of special elements) in M365 Copilot. Een RCE-classificatie op een AI-assistent is nieuw terrein en verdient aandacht.
- CVE-2026-48582 / CVE-2026-54998 — Microsoft Exchange Online Elevation of Privilege: ontbrekende/incorrecte autorisatie.
- CVE-2026-48579 — Microsoft Exchange Online Information Disclosure: improper authorization laat een unauthenticated aanvaller informatie inzien.
Copilot: open redirects en info-disclosure
- CVE-2026-33102, CVE-2026-47645 — open redirect (URL-redirection naar untrusted site) → privilege-escalatie in M365 Copilot / Copilot Business Chat.
- CVE-2026-54130 — missing authentication for critical function in M365 Copilot.
- CVE-2026-42824, CVE-2026-26129, CVE-2026-26164 — info-disclosure in Copilot.
- CVE-2026-41100 / CVE-2026-41614 — spoofing in Copilot voor Android/Desktop.
Entra ID / Azure
- CVE-2026-40379 — Entra ID / ESTS spoofing.
- CVE-2026-35435 — Azure AI Foundry elevation of privilege.
Advies
Geen eigen patch-actie (Microsoft verhelpt server-side). Wél: review Entra ID sign-in-/ audit-logs, dwing phishing-resistant MFA en conditional access af, en let op de snel groeiende categorie Copilot/AI-kwetsbaarheden (RCE, info-disclosure) bij het toekennen van Copilot-permissies.