La inyección sigue filtrando a Copilot: dos nuevos CVE de junio de 2026
El Patch Tuesday del 9 de junio de 2026 trajo CVE-2026-42824 y CVE-2026-47644 — dos fallos de divulgación de información de clase inyección en la superficie de Copilot, continuando el linaje de exfiltración iniciado con EchoLeak.
¿Qué es esto?
El Patch Tuesday del 9 de junio de 2026 — una publicación récord de 206 CVE, 32 de ellos críticos, según Cisco Talos — contenía un grupo pequeño pero revelador en la superficie de Copilot. Tres entradas comparten la misma clase de debilidad raíz: neutralización incorrecta de elementos especiales (inyección). Una, CVE-2026-45497, es el fallo de inyección de comandos que conduce a ejecución de código que tratamos por separado. Las otras dos son el objeto de este artículo:
- CVE-2026-42824 — inyección de comandos en Microsoft 365 Copilot que «permite a un atacante no autorizado divulgar información a través de la red».
- CVE-2026-47644 — neutralización incorrecta de elementos especiales en la salida usada por un componente posterior (inyección) en Copilot Chat (Microsoft Edge), que también permite divulgación de información a través de la red.
Ambos fueron divulgados el 4 de junio de 2026 y, según el MSRC, ya están remediados del lado del servidor, sin acción requerida por parte del usuario. Microsoft, como es habitual en sus avisos cloud, publica la clase CWE, el impacto y el vector, pero retiene los detalles de explotación. No rellenamos ese vacío con detalles inventados.
Cómo funciona
Lo que los avisos sí nos dicen es el patrón, y el patrón es lo esencial. Ambos fallos son debilidades de inyección cuyo resultado es divulgación de información, no ejecución de código. Es la misma forma que CVE-2025-32711 «EchoLeak» un año antes, y la misma forma que las cadenas de exfiltración de Copilot documentadas en este sitio — véanse nuestra cadena CoPirate 365 Copilot y ShareLeak en Copilot Studio.
La razón estructural por la que un asistente de IA sigue produciendo esta clase de CVE: una petición de Copilot mezcla instrucciones de confianza (el prompt del sistema, el usuario) con contenido no confiable (documentos, correos, páginas web, salida de herramientas) en un mismo contexto, y la salida del modelo es luego consumida por componentes posteriores — un motor de renderizado del navegador, un conector, un desplegador de enlaces, un sink de markdown/HTML. Si los elementos especiales de esa salida no se neutralizan antes de que el componente posterior actúe, el contenido controlado por el atacante y recuperado durante el turno puede dirigir qué se lee y a dónde se envía. La clase CWE «inyección» es precisamente la etiqueta de «datos no confiables cruzaron una frontera que no debían cruzar». Que CVE-2026-47644 nombre un componente posterior en Edge encaja exactamente con esta lectura.
Aquí no se reproduce ningún payload, y no hace falta ninguno para entender la lección: en un asistente LLM, la salida del modelo es entrada no confiable para lo que se ejecuta a continuación.
Por qué importa
Tres conclusiones. Primera, la divulgación de información, no la ejecución de código, sigue siendo el modo de fallo dominante de Copilot. El titular de este mes fue la ejecución de código (45497), pero dos de los tres CVE de inyección filtran datos — coherente con todos los incidentes de Copilot desde EchoLeak. Si modela la amenaza de Copilot solo para la ejecución de código, está defendiendo el caso más raro.
Segunda, «ya remediado, sin acción requerida» no es «nada que hacer». Las correcciones del lado del servidor cierran la instancia concreta que Microsoft encontró; no retiran la clase de debilidad y no le dan ninguna cobertura de detección para la próxima variante. La clase se ha repetido ya las veces suficientes como para tratarse como un riesgo permanente, no como una serie de casos aislados.
Tercera, la señal de volumen. Un Patch Tuesday de 206 CVE, con la detección asistida por IA ampliamente acreditada por ese aumento, significa que la cadencia de avisos sobre superficies de IA está creciendo. Copilot es ahora una línea recurrente en la inteligencia mensual de vulnerabilidades, y debe rastrearse como tal.
Defensas
Microsoft posee la corrección cloud; su trabajo es el radio de impacto circundante y la próxima variante.
- Trate la salida del modelo como entrada no confiable aguas abajo. Donde la salida de Copilot alimente un renderizador, un conector o una automatización, aplique codificación de salida contextual y neutralización adaptada al sink (HTML, URL, comando). Es el control cuya ausencia describen estos CVE.
- Restrinja las rutas de exfiltración. La mayoría de las cadenas de fuga de Copilot terminan en una petición saliente — una carga de imagen, un enlace, una llamada de conector. Restrinja y supervise el egress desde el contexto del asistente; deshabilite la carga automática de contenido remoto en las respuestas renderizadas donde pueda.
- Minimice la superficie de grounding. Limite los conectores y los accesos a documentos de Copilot al mínimo privilegio. Cuanto menos dato sensible sea alcanzable en un solo turno, menos puede divulgar una inyección.
- Supervise la divulgación, no solo la ejecución. Alerte sobre peticiones salientes anómalas originadas en Copilot y sobre lecturas inusuales entre tenants o entre conectores. Los fallos de divulgación son silenciosos por diseño.
- Parchee y rastree la superficie de IA con la cadencia normal. Añada M365 Copilot, Copilot Chat y Edge a su revisión mensual del MSRC. Los avisos de «sin acción requerida» también pertenecen al inventario.
Estado
| CVE | Componente | Clase | Impacto | Divulgación | Estado |
|---|---|---|---|---|---|
| CVE-2026-42824 | Microsoft 365 Copilot | Inyección de comandos | Divulgación de información (red) | 2026-06-04 | Corregido del lado del servidor |
| CVE-2026-47644 | Copilot Chat (Edge) | Inyección de salida | Divulgación de información (red) | 2026-06-04 | Corregido del lado del servidor |
| CVE-2026-45497 | Microsoft 365 Copilot | Inyección de comandos | RCE (cambio de alcance) | 2026-06-04 | Corregido del lado del servidor |
| CVE-2025-32711 (EchoLeak) | Microsoft 365 Copilot | Inyección | Divulgación de información | 2025 | Corregido del lado del servidor |
El encuadre correcto no es «dos bugs más de Copilot». Es que la divulgación de información impulsada por inyección es una propiedad estructural y recurrente de los asistentes LLM que mezclan contenido de confianza y no confiable, y que cada corrección mensual cierra una instancia, no la clase. Los defensores que interioricen esto mantendrán su supervisión de egress y sus controles de manejo de salida mucho después de que los avisos de este mes desaparezcan de la pantalla.
Sources
- → https://blog.talosintelligence.com/microsoft-patch-tuesday-for-june-2026-snort-rules-and-prominent-vulnerabilities/
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47644
- → https://thewindowsupdate.com/2026/06/04/cve-2026-42824-m365-copilot-information-disclosure-vulnerability/
- → https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32711