微软 SharePoint 连接器漏洞可致用户凭证被盗

据Cybersecuritynews消息，微软 Power Platform 的 SharePoint 连接器存在严重的服务器端请求伪造（SSRF）漏洞。该漏洞使攻击者能够窃取用户凭证，并在 Power Apps、Power Automate、Copilot Studio 和 Copilot 365 等多个服务中冒充受害者。 研究人员指出，漏洞源于 SharePoint 连接器输入验证不足。攻击者通过操纵 “自定义值” 功能，插入未被正确验证的恶意 URL，诱使用户触发对其控制服务器的请求，从而泄露与用户凭证相关的 SharePoint JSON Web Tokens（JWTs）。