Microsoft behebt kritische Sicherheitslücke in Copilot Studio
Am 21. August 2024 wurde eine schwerwiegende Sicherheitslücke in Microsofts Copilot Studio bekannt. Die Schwachstelle CVE-2024-38206 wurde mit einem CVSS-Score von 8.5 bewertet und ermöglicht es einem authentifizierten Angreifer, durch eine Server-Side Request Forgery (SSRF)-Attacke auf sensible Informationen zuzugreifen. Die Sicherheitslücke erlaubt es, Metadaten abzurufen und Managed Identity Access Tokens zu erhalten, die wiederum genutzt werden konnten, um auf interne Ressourcen wie Cosmos DB-Instanzen zuzugreifen.
Microsoft hat die Schwachstelle inzwischen behoben, und es sind keine weiteren Maßnahmen seitens der Nutzer erforderlich.