修补后的数据揭示了 Microsoft Dynamics 365 和 Power Apps Web
微软Dynamics 365与Power Apps Web API中的安全漏洞
关键要点
微软Dynamics 365和Power Apps Web API发现三大重大安全漏洞。这些漏洞可能导致数据泄露和数据被非法利用。对OData和FetchXML API的多项弱点进行了详细说明,强调了网络安全的持续重要性。几个月前,微软已对三项严重的安全漏洞进行了修复,这些漏洞涉及到微软Dynamics 365和Power Apps Web API,Stratus Security的研究人员对此进行了更深入的分析,相关报道由黑客新闻发布。
根据研究人员的揭示,Power Platform的OData Web API Filter受到了其中两项安全问题的影响。第一项漏洞源于访问控制不足,这使得敏感数据可以被非授权访问,进而可能被利用以获取完整哈希值。第二个漏洞则与同一API中orderby子句的使用有关,该漏洞被利用来收集所需的数据库信息。同时,最后一个漏洞影响了FetchXML API,该漏洞可能被滥用以执行orderby查询,同时规避访问控制。
“Dynamics 365和Power Apps API中漏洞的发现,再次提醒我们:网络安全需要持续的警惕,尤其是对于像微软这样拥有大量数据的大型公司。”Stratus Security表示。
漏洞概述
漏洞类型影响的API漏洞描述访问控制不足OData Web API Filter允许非授权访问敏感数据,可能导致完整哈希值泄露。Orderby子句OData Web API Filter在API中利用orderby子句收集所需数据库信息。躲避访问控制FetchXML API滥用此API建立orderby查询,从而绕过访问控制。这三项漏洞的存在,提醒所有企业在处理敏感数据时必须保持高度的安全意识,并采取必要的防护措施以保护自身的数据安全。
加速器网页版