网络安全研究人员发现，微软 OneDrive File Picker(文件选择器)中存在一处安全漏洞，如果被成功利用，将允许网站访问用户全部云存储内容。

主要原因是过于宽泛的 OAuth 范围以及误导性的授权界面，授权界面未能清楚地解释所授予的访问权限范围，Oasis 研究团队表示"这个漏洞可能导致严重后果，包括用户数据泄露和违反合规法规。"

据评估，一些应用程序受到影响，如 ChatGPT、Slack、Trello 和 ClickUp，因为它们均与微软的云服务集成。

Oasis 还表示，问题在于 OneDrive File Picker(文件选择器) 请求了过多的权限，由于 OneDrive 缺乏细粒度的 OAuth 权限，即使在只上传单个文件的情况下，选择器也会寻求对整个驱动器读取的访问权限。

更糟糕的是，用户在文件上传前看到的授权界面提示含糊不清，未能充分传达所授予的访问权限级别，从而让用户面临意外的安全风险。

"Oasis 指出："由于缺乏细粒度的范围，用户很难区分针对所有文件的恶意应用程序和仅仅因为没有其它安全选项而要求过多权限的合法应用程序。

Oasis 进一步指出，用于授权访问的 OAuth 令牌通常存储不安全，并补充说，它们以明文形式保存在浏览器的会话存储中。

另一个潜在的隐患是，授权工作流还可能涉及发放刷新令牌，通过允许应用程序获取新的访问令牌来持续访问用户数据，而无需在当前令牌过期时要求用户再次登录。

在负责任的披露之后，微软已经承认了这个问题，不过目前还没有修复方案。在此期间，，值得考虑暂时取消通过 OAuth 使用 OneDrive 上传文件的选项，直到安全的替代方案正式发布。另外建议避免使用刷新令牌，以安全的方式存储访问令牌，并在不再需要时将其删除。

新闻来源：https://thehackernews.com/2025/05/microsoft-onedrive-file-picker-flaw.html

- END -