Vulnerabilities ›

CVE-2026-26164

High

CWE-74 — Weakness Type

                    Published: May 7, 2026                      ·  Modified: May 14, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

Improper neutralization of special elements in output used by a downstream component ('injection') in M365 Copilot allows an unauthorized attacker to disclose information over a network.

🤖 AI Executive Summary

CVE-2026-26164 is an injection vulnerability in M365 Copilot that allows attackers to bypass output neutralization and disclose sensitive information over the network. The flaw affects the handling of special elements in downstream components, potentially exposing confidential data to unauthorized parties.

📄 Description (Arabic)

ثغرة حقن في M365 Copilot تفشل في تحييد العناصر الخاصة بشكل صحيح في المخرجات المرسلة إلى المكونات النهائية. يمكن للمهاجمين استغلال هذه الفجوة لحقن أوامر ضارة والكشف عن معلومات حساسة عبر الشبكة. تؤثر الثغرة على سرية البيانات وقد تؤدي إلى تسرب معلومات تجارية حساسة.

🤖 ملخص تنفيذي (AI)

CVE-2026-26164 هو ثغرة حقن في M365 Copilot تسمح للمهاجمين بتجاوز تحييد المخرجات والكشف عن المعلومات الحساسة عبر الشبكة. تؤثر الفجوة على معالجة العناصر الخاصة في المكونات النهائية، مما قد يعرض البيانات السرية للأطراف غير المصرح لها.

🤖 AI Intelligence Analysis Analyzed: May 12, 2026 15:02

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom energy healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1566 T1598 T1040

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Apply Microsoft security updates immediately for M365 Copilot. Implement input validation and output encoding mechanisms. Deploy network segmentation to limit data exposure. Monitor Copilot usage logs for suspicious injection patterns. Restrict Copilot access to users with legitimate business needs only.

🔧 خطوات المعالجة (العربية)

تطبيق تحديثات أمان Microsoft فوراً لـ M365 Copilot. تنفيذ آليات التحقق من صحة المدخلات وترميز المخرجات. نشر تقسيم الشبكة لتحديد تعرض البيانات. مراقبة سجلات استخدام Copilot للأنماط المريبة. تقييد الوصول إلى Copilot للمستخدمين ذوي الاحتياجات التجارية المشروعة فقط.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

7.1.1 7.2.1 7.3.1

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.DS-1

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.12.6.1

🔗 References & Sources 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26164

secure@microsoft.com

Vendor Advisory

📦 Affected Products / CPE 1 entries

microsoft:365_copilot_chat:-

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-74

EPSS0.08%

Exploit No

Patch ✗ No

Published 2026-05-07

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-74

🏢 Vendor Advisories

🔗 https://msrc.microsoft.com/update-guide/vulnerabilit...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-26164

Introduce Yourself

Sign In Required