科技媒体 darkreading 报道称，微软 Copilot Studio 存在服务器端请求伪造（SSRF）安全漏洞，可能导致敏感云数据泄露。研究人员发现，该漏洞允许攻击者发出外部 HTTP 请求，从而访问云环境中有关内部服务的敏感信息，并可能影响多个租户。Tenable 的研究人员在聊天机器人创建工具中发现了该漏洞，并利用它访问了微软的内部基础架构，包括实例元数据服务（IMDS）和内部 Cosmos DB 实例。该漏洞被微软追踪为 CVE-2024-38206，攻击者可以通过绕过 Microsoft Copilot Studio 中的 SSRF 保护，通过网络泄漏基于云的敏感信息。

👨‍💻 **微软 Copilot Studio 存在 SSRF 漏洞，可能泄露敏感云数据**：该漏洞允许攻击者发出外部 HTTP 请求，从而访问云环境中有关内部服务的敏感信息，并可能影响多个租户。

🕵️ **Tenable 的研究人员在聊天机器人创建工具中发现了该漏洞**：他们利用该漏洞访问了微软的内部基础架构，包括实例元数据服务（IMDS）和内部 Cosmos DB 实例。

⚠️ **该漏洞被微软追踪为 CVE-2024-38206**：攻击者可以通过绕过 Microsoft Copilot Studio 中的 SSRF 保护，通过网络泄漏基于云的敏感信息。

🛡️ **微软建议用户更新到最新版本以修复该漏洞**：并采取其他安全措施来保护其云环境。

🔍 **该漏洞提醒我们，即使是大型科技公司也可能存在安全漏洞**：需要不断加强安全措施，并及时更新软件以防范安全风险。

IT之家 8 月 22 日消息，科技媒体 darkreading 昨日（8 月 21 日）发布博文，报道微软 Copilot Studio 存在服务器端请求伪造（SSRF）安全漏洞，会泄露敏感云数据。

微软 Copilot Studio 简介

IT之家附上微软官方介绍如下：

Copilot Studio 是一个端到端对话式 AI 平台，支持你使用自然语言或图形界面创建和自定义助手。

用户使用 Copilot Studio，可以轻松设计、测试和发布满足内部或外部场景的需求。

漏洞

研究人员利用微软 Copilot Studio 工具中的一个漏洞，能够发出外部 HTTP 请求，从而访问云环境中有关内部服务的敏感信息，并潜在影响多个租户。

Tenable 的研究人员在聊天机器人创建工具中发现了服务器端请求伪造（SSRF）漏洞，他们利用该漏洞访问了微软的内部基础架构，包括实例元数据服务（IMDS）和内部 Cosmos DB 实例。

该漏洞被微软追踪为 CVE-2024-38206，根据与该漏洞相关的安全公告，经过验证的攻击者可以绕过 Microsoft Copilot Studio 中的 SSRF 保护，通过网络泄漏基于云的敏感信息。