Azure API接続の重大な脆弱性により権限昇格と秘密情報の漏洩が可能に
2025-03-12
Binary Securityのセキュリティ研究者は、Azure API接続における未公開のAPIを発見しました。これにより、Key Vaults、Storage Blobs、Defender ATP、さらには企業のJiraやSalesforceサーバーなど、バックエンドリソースからの権限昇格と秘密情報の漏洩が可能になります。この脆弱性は、API接続への読み取りアクセス権を持つユーザーであれば、定義されたGETリクエストを呼び出すことができ、セキュリティ制御を回避して機密データにアクセスできることに起因します。Microsoftはこの脆弱性を認識し、修正済みです。
テクノロジー
API脆弱性