当前位置: 首页 > news >正文

微软365 PDF导出功能存在本地文件包含漏洞,可泄露敏感服务器数据

微软365 PDF导出LFI漏洞示意图

微软365的"导出为PDF"功能近期被发现存在严重的本地文件包含(Local File Inclusion, LFI)漏洞,攻击者可利用该漏洞获取服务器端的敏感数据,包括配置文件、数据库凭证和应用程序源代码。

该漏洞由安全研究员Gianluca Baldi发现并报告给微软,因其对企业安全的重大影响获得了3000美元漏洞赏金。微软随后发布了修复补丁。

漏洞核心要点

  1. 微软365的PDF导出功能存在LFI漏洞,允许攻击者访问服务器端敏感文件
  2. 恶意HTML标签可将服务器文件内容嵌入转换后的PDF中
  3. 可能泄露配置信息、凭证数据及跨租户数据
  4. 微软已通过漏洞赏金计划修复该漏洞

LFI漏洞技术分析

该漏洞利用了微软Graph API中未公开的HTML转PDF功能特性。Gianluca Baldi在对客户Web应用进行评估时发现,通过微软365 SharePoint集成的文档转换功能可将文件转为PDF格式。

微软Graph API官方支持通过format参数将多种格式(如CSV、DOC、DOCX等)转换为PDF,但未公开文档显示其也支持HTML转PDF功能,这意外扩大了攻击面。由于转换过程缺乏适当的输入验证和文件路径限制,攻击者可利用路径遍历技术访问服务器根目录之外的文件。

恶意HTML文件示例

攻击者可在HTML内容中嵌入、和等恶意标签,强制在PDF转换过程中包含本地文件内容。具体攻击分为三步:

  1. 通过微软Graph API上传恶意HTML文件
  2. 通过API端点请求将该文件转换为PDF格式
  3. 下载包含嵌入本地文件内容的PDF

PDF转换请求示意图

漏洞影响与修复措施

该LFI漏洞影响远超普通文件泄露,可能暴露微软机密信息、数据库连接字符串、应用源代码,在多租户环境中还可能导致跨租户数据泄露。微软安全响应中心(MSRC)将其评为"重要"级别,反映了其在企业环境中可能导致重大数据泄露的风险。

微软采取的修复措施包括:

  • 限制PDF转换过程中的HTML标签处理
  • 实施严格的文件路径验证以防止目录遍历攻击

虽然微软已修复该漏洞,但此事件凸显了对未公开API行为和文件处理功能进行全面安全测试的重要性。

http://www.dtcms.com/a/272103.html

相关文章:

  • 【办公类-107-01】20250710视频慢速与视频截图
  • 用 ngrok + SSH 实现公网远程控制电脑
  • Linux Vim 编辑器详解:从入门到进阶(含图示+插件推荐)
  • FPGA设计思想与验证方法系列学习笔记001
  • XCZU47DR-2FFVG1517I Xilinx FPGA AMD ZynqUltraScale+ RFSoC
  • 原生微信小程序研发,如何对图片进行统一管理?
  • 从代码生成到智能运维的革命性变革
  • 基于elementUI的el-autocomplete组件的自动补全下拉框实践
  • LFU 缓存
  • Vue2_element 表头查询功能
  • Vue+Element Plus 中按回车刷新页面问题排查与解决
  • pytorch 神经网络
  • 深入理解机器学习
  • 【深度学习新浪潮】什么是持续预训练?
  • 深度学习中的常见损失函数详解及PyTorch实现
  • B2、进度汇报(— 25/06/16)
  • Sigma-Aldrich细胞培养基础知识:细胞培养的安全注意事项
  • Vue 中监测路由变化时,通常不需要开启深度监听(deep: true)
  • 基于Python的旅游推荐协同过滤算法系统(去哪儿网数据分析及可视化(Django+echarts))
  • 《Stata面板数据分析:数据检验、回归模型与诊断技术 - 以NLSW工资研究(公开数据)为例》
  • android studio 运行,偶然会导致死机,设置Memory Settings尝试解决
  • 不止于快:金士顿XS2000移动固态硬盘如何重塑你的数字生活
  • 机器学习1
  • ssh: connect to host github.com port 22: connection refused
  • Web学习笔记2
  • 使用球体模型模拟相机成像:地面与天空的可见性判断与纹理映射
  • 「py数据分析」04如何将 Python 爬取的数据保存为 CSV 文件
  • 基于Python的程序员数据分析与可视化系统的设计与实现
  • 三、神经网络——网络优化方法
  • 线上事故处理记录