微軟Copilot Studio存在SSRF漏洞,攻擊者有機會存取內部敏感資料
本月初微軟針對人工智慧聊天機器人的工具Copilot Studio修補伺服器請求偽造(SSRF)漏洞CVE-2024-38206,週二(8月20日)通報此事的資安業者Tenable公布相關細節
人工智慧相關的應用系統當紅,這類系統衍生的漏洞也相當受到關注,繼上週資安業者Tenable公布Azure Health聊天機器人服務漏洞,本週他們針對微軟提供企業自訂AI副手功能的工具Copilot Studio,公布當中存在資安漏洞。
研究人員針對Copilot Studio伺服器請求偽造(SSRF)漏洞CVE-2024-38206進行說明,指出攻擊者可透過這項漏洞存取服務內部潛在的敏感資訊,該漏洞被列為重大層級,CVSS風險評分為8.5,微軟於8月6日已完成修補並發布公告。
對於這項漏洞發現的過程,研究人員指出,他們是在調查Azure AI Studio及Azure ML Studio與API有關的SSRF漏洞過程中,發現也存在於Copilot Studio,於是他們進行確認並向微軟進行通報。
【資安新聞-iThome】
微軟Copilot Studio存在SSRF漏洞,攻擊者有機會存取內部敏感資料
詳細資訊請參考:https://www.ithome.com.tw/news/164626
沒有留言:
張貼留言