8 月 22 日消息，科技媒体 darkreading 昨日 发布博文，报道微软 Copilot Studio 存在服务器端请求伪造 SSRF 安全漏洞，会泄露敏感云数据。

微软 Copilot Studio 简介

微软 Copilot Studio AI 工具被曝安全漏洞，会泄露敏感云数据

附上微软官方介绍如下：

Copilot Studio 是一个端到端对话式 AI 平台，支持你使用自然语言或图形界面创建和自定义助手。

用户使用 Copilot Studio，可以轻松设计、测试和发布满足内部或外部场景的需求。

漏洞

研究人员利用微软 Copilot Studio 工具中的一个漏洞，能够发出外部 HTTP 请求，从而访问云环境中有关内部服务的敏感信息，并潜在影响多个租户。

Tenable 的研究人员在聊天机器人创建工具中发现了服务器端请求伪造 SSRF 漏洞，他们利用该漏洞访问了微软的内部基础架构，包括实例元数据服务 IMDS 和内部 Cosmos DB 实例。

该漏洞被微软追踪为 CVE-2024-38206，根据与该漏洞相关的安全公告，经过验证的攻击者可以绕过 Microsoft Copilot Studio 中的 SSRF 保护，通过网络泄漏基于云的敏感信息。 故渊

温馨提示:微信搜索公众号【深圳之窗】,关注后在对话框内回复【资讯】即可获取深圳的各种资讯内容,包含深圳入户,深圳天气,深圳交通,深圳人文,同时,扫描关注文下企微号,可以了解深圳近期的各种福利活动优惠等信息