Everynewsopen beta

Marketplace

Everynews

Stats

37 happy users31 timely alerts10,927 surprising stories

Story

The Story Behind Firefighter Mode

Socials

© 2025 Everynews. All rights reserved.

Privacy Policy Terms of Service Support

•

1

2

3

🇨🇳 Hacker News 简体中文•July 2, 2025 at 08:53 PM

Azure 过度权限与 VPN 密钥泄露

1

Azure 部分内置角色被错误配置为过度授权，授予了比预期更多的读取权限。

2

研究发现 Azure API 存在漏洞，可通过 GET 请求泄露站点到站点 VPN 的预共享密钥。

3

攻击者可利用低权限身份组合上述漏洞，访问云端资源并连接企业内网。

4

Microsoft 仅更新了文档提示风险，但未修复过度授权角色；对 VPN 密钥泄露漏洞已施以修补。

5

建议审计并移除这些过度授权角色，使用最小授权范围和自定义角色以降低风险。

Subscribe to Similar Stories

Get notified when new stories are published for "🇨🇳 Hacker News 简体中文"

No Sign-In needed. One-Click Subscribe.