严重漏洞:攻击者可利用Entra ID“Actor令牌”漏洞控制全球任何租户
2025-09-18
安全研究人员发现了一个严重的Microsoft Entra ID漏洞,该漏洞允许攻击者利用未公开的“Actor令牌”和Azure AD Graph API中的一个关键缺陷,实现对全球几乎所有Entra ID租户(除国家云部署外)的完全访问权限。攻击者无需任何先决条件即可通过暴力破解或利用B2B信任关系获取目标租户用户的netId,进而伪装成管理员,完全控制目标租户,访问敏感数据,甚至修改任何设置。Microsoft已修复此漏洞(CVE-2025-55241),但该漏洞凸显了Actor令牌设计中的安全隐患。
科技
Entra ID