我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。
研究人员利用微软Copilot Studio工具中的一个漏洞,能够发出外部HTTP请求,从而访问云环境中有关内部服务的敏感信息,并潜在影响多个租户。Tenable的研究人员在聊天机器人创建工具中发现了服务器端请求伪造(SSRF)漏洞,他们利用该漏洞访问了微软的内部基础架构,包括实例元数据服务(IMDS)和内部Cosmos DB实例。该漏洞被微软追踪为CVE-2024-38206,根据与该漏洞相关的安全公告,经过验证的攻击者可以绕过Microsoft Copilot Studio中的SSRF保护,通过网络泄漏基于云的敏感信息。
文章评价
匿名用户