Kritieke kwetsbaarheden in Microsoft Exchange Online en Microsoft 365 Copilot hadden door aanvallers kunnen worden gebruikt om hun rechten te verhogen, zo laat Microsoft weten. Het techbedrijf heeft de twee kwetsbaarheden inmiddels verholpen en stelt dat klanten geen actie hoeven te ondernemen. 'Elevation of Privilege' kwetsbarheden worden meestal niet als kritiek bestempeld, maar dat is bij CVE-2026-54998 en CVE-2026-41106 wel het geval.
CVE-2026-54998 betrof een probleem in Microsoft Exchange Online. "Incorrecte autorisatie" in de maildienst zorgde ervoor dat een ongeautoriseerde aanvaller over een netwerk zijn rechten kon verhogen, aldus het beveiligingsbulletin van Microsoft dat geen verdere informatie bevat. Het probleem werd door een externe onderzoeker gerapporteerd.
CVE-2026-41106 in 365 Copilot betrof een 'url redirect naar een onbetrouwbare site ('open redirect')' waardoor wederom een aanvaller zijn rechten over een netwerk kon verhogen, zo stelt het beveiligingsbulletin. Wederom wordt geen informatie gegeven, zoals hoe aanvaller er misbruik van had kunnen maken en welke rechten een aanvaller had kunnen krijgen. Dit lek werd door Microsoft zelf gevonden. Het techbedrijf zegt niet bekend te zijn met misbruik van de twee problemen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.