一、漏洞概述

OneDrive文件選擇器(File Picker)是微軟云存儲服務的關鍵組件，允許用戶在各類應用中選擇存儲在OneDrive中的文件。

近日，安全研究人員發現該組件存在重大安全漏洞，導致數百萬用戶面臨未授權數據訪問風險。該漏洞允許第三方網絡應用獲取用戶整個OneDrive存儲的完全訪問權限，而非僅限于選定文件。

安全研究人員于2025年5月28日報告稱，該漏洞源于過寬的OAuth授權范圍和具有誤導性的同意界面，未能清晰傳達所授予的訪問權限范圍。

此OneDrive文件選擇器漏洞影響數百個廣泛使用的網絡應用，包括ChatGPT、Slack、Trello和ClickUp，可能使數百萬用戶面臨風險。

二、漏洞技術原理

該漏洞源于文件選擇器對OAuth授權范圍的實現過于寬泛。即使用戶僅打算上傳或共享單個文件，系統仍會請求File Access.Read.All或Files.ReadWrite.All等全局權限。

與提供細粒度OAuth授權范圍（如drive.file）的Google Drive不同，微軟的實現方式會授予對OneDrive所有內容的無限制訪問權限。Dropbox采用更安全的Chooser SDK方案，通過專有端點完全避免了OAuth流程。

向用戶展示的同意對話框尤其存在問題，它未明確告知點擊操作將授予集成方訪問用戶OneDrive中所有文件和文件夾的權限，而不僅限于用戶想要共享的文檔。

報告指出，不同版本OneDrive文件選擇器的不安全令牌存儲方式進一步加劇了安全風險。舊版本（6.0-7.2）使用隱式認證流程，導致敏感訪問令牌暴露在URL片段中或不安全地存儲在瀏覽器localStorage中。

最新版本（8.0）要求開發者使用微軟認證庫（MSAL）處理認證，但仍以明文形式在會話存儲中保存令牌。MSAL授權流程實現還存在額外漏洞，可能簽發刷新令牌（Refresh Tokens），使訪問期限超出典型的一小時令牌有效期。

這些長期有效的令牌若未經加密就緩存在localStorage或后端數據庫中，將為攻擊者提供持續訪問整個OneDrive存儲庫的攻擊途徑。

技術實現上，開發者需要通過委托權限請求MyFiles.Read、Sites.Read.All或Files.ReadWrite.All等權限，但由于缺乏文件級權限設置，無法將訪問限制在特定文檔。

三、微軟回應

微軟已確認收到安全報告，表示"未來可能會考慮改進"，但未提供具體時間表。

四、緩解措施

安全專家建議用戶和組織立即采取行動降低風險。

對于個人用戶，專家建議通過微軟賬戶隱私設置審查第三方應用訪問權限，并撤銷不必要的授權。企業組織應實施管理員同意策略或條件訪問控制，阻止請求超出Files.Read權限的應用。

網絡應用開發者應避免請求會生成刷新令牌的離線訪問范圍，并實施安全的令牌存儲實踐。此外，安全團隊應監控Graph API和云訪問安全代理（CASB）日志中的異常OneDrive訪問模式。

本公眾號發布的文章均轉載自互聯網或經作者投稿授權的原創，文末注有出處，其內容及圖片版權均屬于原網站或作者本人，本公眾號對此不持立場，若有無意侵權或轉載不當之處請聯系我們處理！文章來源：https://www.freebuf.com/articles/database/432802.html

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明