Cảnh báo CVE nghiêm trọng trên Microsoft Teams desktop

20/04/2026
3 mins read
Cảnh báo CVE nghiêm trọng trên Microsoft Teams desktop

Microsoft Teams desktop đang gặp một cảnh báo CVE theo nghĩa vận hành nội bộ của ứng dụng, dù nội dung hiện tại không gắn với mã CVE cụ thể. Sự cố ảnh hưởng đến phiên bản 26072.519.4556.7438 trên WindowsmacOS, làm vô hiệu hóa tùy chọn dán chuột phải trong Microsoft Teams desktop do một code regression từ bản cập nhật Microsoft Edge.

Nội dung
Lỗi dán chuột phải trong Microsoft Teams desktop
Phạm vi ảnh hưởng kỹ thuật
Cảnh báo CVE theo dạng regression từ Microsoft Edge
Kiến trúc liên quan
Hành vi lỗi và các tình huống tái hiện
Tái hiện trên bản Insider
Trạng thái xử lý và biện pháp tạm thời
Lệnh và bước kiểm tra thực tế
Điểm kỹ thuật cần theo dõi trong cảnh báo CVE kiểu ứng dụng
Thông tin liên quan

Lỗi dán chuột phải trong Microsoft Teams desktop

Người dùng tại nhiều tổ chức bắt đầu báo cáo từ 14/04/2026 rằng mục Paste trong menu ngữ cảnh chuột phải của Microsoft Teams desktop bị mờ, không thể sử dụng. Ảnh hưởng xuất hiện khi dán URL, đoạn văn bản, và hình ảnh sao chép từ Snipping Tool, Outlook, WordMicrosoft Edge.

Điểm đáng chú ý là lỗi chỉ xảy ra với right-click paste. Phím tắt Ctrl+V trên Windows và Cmd+V trên Mac vẫn hoạt động bình thường. Clipboard của Windows, truy cập qua Windows Key + V, cũng hoạt động như mong đợi.

Phạm vi ảnh hưởng kỹ thuật

  • Ứng dụng bị ảnh hưởng: Microsoft Teams desktop
  • Phiên bản ghi nhận lỗi: 26072.519.4556.7438
  • Nền tảng: Windows, macOS
  • Kiểu lỗi: menu chuột phải không cho phép Paste
  • Không bị ảnh hưởng: Teams for Web tại teams.live.com

Cảnh báo CVE theo dạng regression từ Microsoft Edge

Microsoft xác nhận trong thông báo service health ngày 16/04/2026 lúc 7:24 AM PDT rằng một bản cập nhật gần đây của Microsoft Edge đã đưa vào code regression, trực tiếp gây lỗi hành vi dán trong Microsoft Teams desktop.

Do Teams desktop được xây dựng trên nền Electron và sử dụng Edge WebView2 runtime để hiển thị nội dung, bất kỳ thay đổi nào trong engine trình duyệt nền đều có thể tạo ra rủi ro bảo mật hoặc lỗi chức năng tương thích. Trong trường hợp này, đây là một sự cố vận hành ứng dụng, không phải khai thác remote code execution.

Kiến trúc liên quan

Teams desktop tích hợp Edge WebView2. Vì vậy, một bản cập nhật ở lớp trình duyệt có thể làm thay đổi hành vi của clipboard, menu ngữ cảnh và các thành phần render. Điều này lý giải vì sao lỗi xuất hiện trên Teams desktop nhưng không tái hiện trên Teams for Web.

NVD – National Vulnerability Database

Hành vi lỗi và các tình huống tái hiện

Một người dùng báo cáo rằng nếu thay đổi một ký tự trong URL, ví dụ từ https:// thành ttps://, thì chuỗi đó có thể được dán dưới dạng text thường. Tuy nhiên, các URL hợp lệ vẫn bị chặn trong menu chuột phải.

Quan sát từ phản hồi của người dùng cho thấy lỗi không chỉ giới hạn ở URL mà ảnh hưởng đến mọi loại nội dung sao chép. Điều này củng cố nhận định rằng sự cố nằm ở lớp xử lý paste của client, không phải ở dữ liệu đầu vào.

Tái hiện trên bản Insider

Moderator Ruwim.B xác minh độc lập rằng lỗi cũng tái hiện trên Teams Insider build 26093.408.4582.3829 khi đăng nhập bằng tài khoản cá nhân/Teams Free. Kết quả này cho thấy sự cố không liên quan đến cấu hình IT admin hay chính sách tổ chức.

Trạng thái xử lý và biện pháp tạm thời

Microsoft đã ghi nhận sự cố và xác nhận bản sửa lỗi đang được triển khai theo cơ chế staged rollout. Hệ thống telemetry đang được theo dõi để xác nhận quá trình phục hồi của Microsoft Teams desktop.

Trong thời gian chờ bản vá lan rộng, Microsoft khuyến nghị các biện pháp tạm thời sau:

  • Sử dụng phím tắt Ctrl+V hoặc Cmd+V thay cho menu chuột phải.
  • Trên Windows, dùng Windows Key + V để truy cập clipboard nếu cần.
  • Đối với hệ thống doanh nghiệp, quản trị viên nên hướng dẫn người dùng tiếp tục dùng keyboard shortcut cho đến khi tenant nhận bản sửa.
  • Tổ chức bị ảnh hưởng diện rộng nên gửi báo cáo qua Microsoft 365 Admin Center để tăng mức độ hiển thị với nhóm engineering của Teams.

Lệnh và bước kiểm tra thực tế

Không có CLI khai thác hay IOC độc hại trong sự cố này. Tuy nhiên, đội vận hành có thể đối chiếu phiên bản client và xác nhận tình trạng bằng cách kiểm tra thủ công giao diện ứng dụng:

Microsoft Teams version: 26072.519.4556.7438
Microsoft Teams Insider version: 26093.408.4582.3829
Affected behavior: Right-click > Paste disabled
Working behavior: Ctrl+V / Cmd+V still functional

Trong môi trường kiểm thử, có thể đối chiếu nhanh hành vi giữa Teams desktopTeams for Web. Nếu Web hoạt động bình thường nhưng desktop lỗi, nguyên nhân nhiều khả năng nằm ở lớp client hoặc engine tích hợp Edge WebView2.

Điểm kỹ thuật cần theo dõi trong cảnh báo CVE kiểu ứng dụng

Mặc dù không có CVE cụ thể, sự cố này vẫn cần được theo dõi như một cảnh báo CVE theo góc nhìn vận hành vì nó ảnh hưởng trực tiếp đến khả năng sử dụng clipboard và quy trình làm việc nội bộ. Trong các môi trường phụ thuộc nhiều vào Microsoft Teams desktop, lỗi paste có thể làm gián đoạn chia sẻ dữ liệu, trao đổi đường dẫn, và dán nội dung từ tài liệu làm việc.

Khi đánh giá cảnh báo CVE hoặc lỗi liên quan đến ứng dụng desktop tích hợp browser runtime, cần kiểm tra ba yếu tố: phiên bản client, bản cập nhật của engine nền, và sự khác biệt giữa desktop với web. Trường hợp này cho thấy thay đổi ở Microsoft Edge có thể tạo ra nguy cơ bảo mật hoặc lỗi chức năng ở lớp ứng dụng mặc dù không có khai thác tấn công trực tiếp.

Thông tin liên quan

  • Loại sự cố: code regression
  • Thành phần liên quan: Microsoft Edge, WebView2, Teams desktop
  • Biểu hiện: Paste qua chuột phải bị vô hiệu hóa
  • Giải pháp: staged rollout bản sửa lỗi

Tham chiếu bổ sung từ Microsoft: Microsoft Answers – Paste feature is not working properly in Teams