网络安全团队Oasis Research Team报告称，微软OneDrive文件选择器存在严重安全漏洞。该漏洞源于文件选择器请求的权限过于宽泛，缺乏精细化的OAuth权限范围控制。用户上传单个文件，文件选择器也会要求对整个云存储驱动器的读取权限。授权提示模糊不清，OAuth令牌以明文形式存储在浏览器会话中，易被窃取。部分授权流程还会发放refresh tokens，允许应用持续访问用户数据。微软已收到报告并确认问题，但尚未修复。

🔑 OneDrive文件选择器漏洞根源在于其请求权限过于宽泛，缺乏精细化的OAuth权限范围控制，导致用户上传单个文件时，应用会要求读取整个云存储驱动器的权限。

⚠️ 用户在上传文件前的授权提示模糊不清，未能明确告知实际授权范围，这使得用户难以分辨哪些应用是恶意索取全部文件访问权限，哪些应用只是缺乏安全选项而被迫请求过多权限，增加了安全风险。

🛡️ 授权过程中使用的OAuth令牌常以明文形式存储在浏览器的会话存储中，极易被攻击者窃取，部分授权流程还会发放refresh tokens，允许应用在当前tokens过期后无需用户再次登录即可获取新tokens，从而持续访问用户数据，进一步放大风险。

IT之家 5 月 30 日消息，网络安全团队 Oasis Research Team 于 5 月 28 日发布博文，报告称微软 OneDrive 文件选择器（File Picker）存在严重安全漏洞。

IT之家援引博文介绍，该团队表示这个漏洞的根源，在于文件选择器请求的权限过于宽泛，缺乏精细化的 OAuth 权限范围控制。即便用户仅上传单个文件，文件选择器，也会要求对整个云存储驱动器的读取权限。

这样的设计让用户难以分辨哪些应用是恶意索取全部文件访问权限，哪些应用只是因为缺乏安全选项而被迫请求过多权限。更糟糕的是，用户在上传文件前的授权提示模糊不清，未能明确告知实际授权范围，增加了安全风险。

Oasis 团队警告，授权过程中使用的 OAuth 令牌常以明文形式存储在浏览器的会话存储中，极易被攻击者窃取。此外，部分授权流程还会发放 refresh tokens，允许应用在当前 tokens 过期后无需用户再次登录即可获取新 tokens，从而持续访问用户数据。

这种机制进一步放大风险，可能导致个人及企业用户的数据长期暴露。目前，微软已收到漏洞报告并确认问题，但尚未推出修复措施。