OneDrive File Picker Flaw Provides Apps Full Read Access Entire OneDrive
a year ago
- #OneDrive
- #DataPrivacy
- #Security
- Oasis Security发现微软OneDrive文件选择器存在漏洞,允许网站访问用户整个OneDrive内容,而不仅是选定文件。
- 受影响应用包括ChatGPT、Slack、Trello和ClickUp,可能导致数百万用户面临数据泄露和合规风险。
- 漏洞根源在于OAuth权限范围过广及用户同意提示表述模糊,导致过度授权。
- 敏感信息(如令牌)以明文形式存储在浏览器会话存储中,进一步加剧风险。
- 缓解措施包括审查已授权应用权限、检查OneDrive文件选择器使用情况、避免使用刷新令牌。
- Oasis建议在微软提供安全替代方案前,暂时通过OAuth移除OneDrive上传功能选项。