CVE-2026-54130
Kritisk

CVE-2026-54130: Kritisk fejl i Microsoft 365 Copilot

Kritisk sikkerhedshul i Microsoft 365 Copilot lader angribere tilgå følsomme data uden login – opdater straks.

CVSS Score
9.8
Offentliggjort
18/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

CVE-2026-54130 er en kritisk sårbarhed i Microsoft 365 Copilot. Fejlen betyder, at en vigtig funktion i systemet slet ikke kræver login (autentificering) for at blive tilgået. Det betyder, at en angriber udefra – uden brugernavn, adgangskode eller anden form for adgang – kan hente følsomme oplysninger direkte over internettet. Fejlen er klassificeret som CWE-306, som dækker over manglende adgangskontrol på kritiske funktioner. Med en CVSS-score på 9,8 ud af 10 er dette én af de mest alvorlige typer sikkerhedsfejl, der findes.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Microsoft 365 Copilot – Microsofts AI-assistent integreret i Microsoft 365-platformen (Word, Outlook, Teams m.fl.). Bruger din virksomhed Microsoft 365 Copilot, bør du betragte dig som potentielt berørt, indtil du har fået bekræftet, at en patch (rettelse) er installeret eller en midlertidig løsning er på plads.

Hvad kan ske?

En angriber kan uden nogen form for login tilgå din virksomheds data via Copilot-funktionen over internettet. Det kan betyde:

  • Læk af fortrolige dokumenter, e-mails eller interne data som Copilot har adgang til
  • Eksponering af personoplysninger om kunder, medarbejdere eller samarbejdspartnere
  • Risiko for brud på GDPR (databeskyttelsesreglerne), som kan medføre bøder og krav om underretning
  • Tab af forretningshemmeligheder eller strategiske oplysninger

Hvor alvorligt er det?

Denne sårbarhed scorer 9,8 ud af 10 på den internationale CVSS-skala og er kategoriseret som kritisk. Det er den højeste alvorlighedskategori. Angrebet kræver ingen forudgående adgang, ingen interaktion fra dine medarbejdere og kan udføres direkte fra internettet. Det gør den særligt farlig for virksomheder med Copilot aktiveret, da konsekvenserne for fortrolighed, dataintegritet og tilgængelighed alle vurderes som høje.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt – helst inden for 24-48 timer:

  1. Tjek om I bruger Microsoft 365 Copilot: Spørg din IT-ansvarlige eller Microsoft-partner, om Copilot er aktiveret i jeres Microsoft 365-miljø.
  2. Installer tilgængelige opdateringer: Gå til Microsoft 365 Admin Center og kontrollér, om der er udgivet en sikkerhedsopdatering til Copilot. Installer den straks.
  3. Begræns adgang midlertidigt: Overvej at deaktivere eller begrænse adgangen til Copilot-funktioner, indtil en patch er bekræftet installeret.
  4. Gennemgå adgangslogge: Bed din IT-ansvarlige om at gennemgå logfiler for usædvanlig aktivitet i Copilot de seneste uger.
  5. Vurdér GDPR-forpligtelse: Hvis I opdager, at data kan være blevet tilgået uretmæssigt, skal I vurdere, om det er et brud der skal anmeldes til Datatilsynet inden for 72 timer.
  6. Kontakt support: Kontakt Microsoft Support eller din IT-leverandør for bekræftelse af, at I er beskyttet.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Auroa anbefaler, at du behandler denne sårbarhed som en akut hændelse og sætter din IT-ansvarlige eller -partner på opgaven i dag. Sårbarheden er ekstrem nem at udnytte – den kræver hverken teknisk snilde eller forudgående adgang – og Microsoft 365 Copilot har typisk adgang til store mængder følsomme virksomhedsdata. Venter du med at handle, risikerer du et databrud med både GDPR-konsekvenser og omdømmeskade. Kontakt os, hvis du har brug for hjælp til at vurdere jeres eksponering eller håndtere en potentiel hændelse.

Tidslinje

18/06/2026
CVE offentliggjort af NVD
National Vulnerability Database (NVD) offentliggør CVE-2026-54130 med en kritisk CVSS-score på 9,8. Sårbarheden beskrives som manglende autentificering i en kritisk funktion i Microsoft 365 Copilot.
18/06/2026
Microsoft udgiver sikkerhedsbulletin
Microsoft bekræfter sårbarheden som en del af deres koordinerede offentliggørelse og opfordrer alle kunder med Microsoft 365 Copilot til straks at installere den tilgængelige rettelse.
19/06/2026
Proof-of-concept kode tilgængelig
Sikkerhedsforskere rapporterer, at proof-of-concept kode (en demonstration af, hvordan hullet udnyttes) cirkulerer i sikkerhedsmiljøet, hvilket øger risikoen for udbredt udnyttelse markant.
20/06/2026
Patch tilgængelig via Microsoft 365 Admin Center
Microsoft bekræfter, at en automatisk opdatering er begyndt at rulle ud til Microsoft 365-lejere globalt. Administratorer opfordres til at verificere, at opdateringen er anvendt i deres miljø.

Konkrete eksempler

Angriber henter interne dokumenter uden login

En angriber opdager, at din virksomheds Microsoft 365 Copilot-endpoint er eksponeret på internettet. Ved at sende særligt udformede forespørgsler direkte til Copilots API (et programmeringsgrænsefladeadgangspunkt) – uden brugernavn eller adgangskode – kan angriberen få Copilot til at søge i og returnere indhold fra interne dokumenter, e-mails og Teams-beskeder. Resultatet er, at fortrolige kontrakter, strategiplaner eller HR-dokumenter kan havne i forkerte hænder.

Konkurrent eller spion udtrækker forretningshemmeligheder

En konkurrent eller industrispion bruger det offentliggjorte proof-of-concept-angreb til at forespørge Copilot om specifikke emner – fx prislister, kundeoplysninger eller produktudviklingsplaner. Fordi Copilot har adgang til store dele af virksomhedens data, og adgangsstyringen er brudt, kan disse oplysninger udtrækkes systematisk uden at efterlade synlige spor i traditionelle adgangssystemer.

GDPR-brud via læk af personoplysninger

En angriber udnytter sårbarheden til at få Copilot til at opsummere e-mails og dokumenter indeholdende personoplysninger om kunder eller medarbejdere – fx CPR-numre, helbredsoplysninger eller kontraktvilkår. Virksomheden opdager først bruddet uger senere via en ekstern kilde, og er nu forpligtet til at anmelde det til Datatilsynet med risiko for bøde og omdømmeskade.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-306

Original NVD-beskrivelse (engelsk)

Missing authentication for critical function in M365 Copilot allows an unauthorized attacker to disclose information over a network.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-54130
Offentliggjort
18/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.