Новость

Уязвимость Microsoft Copilot Studio

Уязвимость Microsoft Copilot Studio

Citizen Sec

@CitizenSec , 09-09-2024

Новость
#Критическая уязвимость
#Информационная безопасность
Уязвимость Microsoft Copilot Studio

Недавно стало известно, что в Microsoft Copilot Studio была обнаружена серьезная уязвимость, которая могла угрожать внутренней безопасности компании. Эта уязвимость, известная как SSRF (server-side request forgery), могла позволить злоумышленникам получить доступ к конфиденциальным данным.


Исследователи из компании Tenable заметили, что в Copilot Studio есть функция, позволяющая пользователям отправлять HTTP-запросы. Они решили протестировать эту функцию и обнаружили, что с небольшими изменениями в запросах им удалось обойти защиту от SSRF. Это позволило им перенаправить запросы на свой собственный сервер и получить доступ к внутренним данным.


Хотя первоначально полученная информация не была конфиденциальной, исследователи смогли извлечь токены доступа, что подчеркивает серьезность проблемы. В конечном итоге они получили доступ к подпискам Azure и смогли обнаружить экземпляр Cosmos DB, к которому имели доступ через Copilot.


Эта уязвимость, получившая название CVE-2024-38206, была оценена как критическая с баллом 8.5 по шкале CVSS. После обнаружения уязвимости Tenable сообщила об этом Microsoft, которая быстро исправила проблему и подтвердила, что пользователям не нужно предпринимать никаких действий для получения исправления.


Важно следить за обновлениями и использовать последние версии программного обеспечения, чтобы защитить свои данные от подобных угроз.


Вам также будет интересно

Новость
#Информационная безопасность
#Критическая уязвимость

Неисправленная уязвимость в камерах AVTECH: хакеры захватывают устройства для создания ботнетов

Уязвимость с кодом CVE-2024-7029 связана с функцией настройки яркости в камерах AVTECH и позволяет удаленно выполнять опасные команды.

@CitizenSec

05-09-2024
Новость
#Информационная безопасность
#Критическая уязвимость

Уязвимость плагина LiteSpeed Cache угрожает более 5 миллионам сайтов на WordPress

Недавно исследователь безопасности Джон Блэкборн из PatchStack обнаружил серьезную уязвимость в плагине LiteSpeed Cache, который используется для ускорения работы сайтов на WordPress.

@CitizenSec

28-08-2024
Новость
#Информационная безопасность
#Критическая уязвимость

Google предупреждает: уязвимость CVE-2024-7965 в Chrome под активной эксплуатацией

Google сообщил о проблеме безопасности в своем браузере Chrome, которая была исправлена в последнем обновлении.

@CitizenSec

27-08-2024
Новость
#Информационная безопасность
#Критическая уязвимость

Критическая уязвимость в OpenSSH FreeBSD

Недавно была обнаружена серьёзная уязвимость безопасности в OpenSSH на системах FreeBSD.

@CitizenSec

14-08-2024
Новость
#Информационная безопасность
#Критическая уязвимость

Уязвимость в MongoDB позволяет злоумышленникам получить полный контроль над системами Windows

Критическая уязвимость обнаружена в MongoDB под кодовым именем CVE-2024-7553.

@CitizenSec

12-08-2024
Новость
#Информационная безопасность
#Критическая уязвимость

Анализ вредоносного кода в бэкдоре XZ Utils - как хакеры эксплуатируют популярный архиватор для атак

В конце марта в популярной библиотеке XZ Utils был обнаружен бэкдор, который получил идентификатор CVE-2024-3094.

@CitizenSec

16-07-2024
Новость
#Информационная безопасность
#Критическая уязвимость

Уязвимость в роутерах D-LINK

Найдена серьезная уязвимость в маршрутизаторах D-LINK, которая может раскрыть конфиденциальную информацию, такую как пароли. Уязвимость была выявлена и представлена в виде доказательства концепции (PoC).

@CitizenSec

11-07-2024
Новость
#Информационная безопасность
#Критическая уязвимость

Новая угроза в Telegram: как защитить свои устройства

В последние дни в социальной сети X и на различных форумах появились доказательства концепции (PoC), что подтверждают возможность эксплуатации этой уязвимости. Теперь эксплойт стал общедоступным.

@CitizenSec

10-07-2024
Новость
#Информационная безопасность
#Критическая уязвимость

Mailcow устраняет критические уязвимости XSS и перезаписи файлов

Исследователи из SonarCloud обнаружили критические уязвимости в Mailcow, популярном решении для почтовых серверов с открытым исходным кодом.

@CitizenSec

10-07-2024