微软Copilot Studio AI工具被曝安全漏洞,会泄露敏感云数据
研究人员利用微软Copilot Studio工具中的一个漏洞,能够发出外部HTTP请求,从而访问云环境中有关内部服务的敏感信息,并潜在影响多个租户。Tenable的研究人员在聊天机器人创建工具中发现了服务器端请求伪造(SSRF)漏洞,他们利用该漏洞访问了微软的内部基础架构,包括实例元数据服务(IMDS)和内部Cosmos DB实例。该漏洞被微软追踪为CVE-2024-38206,根据与该漏洞相关的安全公告,经过验证的攻击者可以绕过Microsoft Copilot Studio中的SSRF保护,通过网络泄漏基于云的敏感信息。
[本文作者佚名,i黑马原创。如需转载请联系微信公众号(ID:iheima)授权,未经授权,转载必究。]
匿名用户
