Microsoft 365导出到PDF功能中存在LFI漏洞

最近，安全研究人员在Microsoft 365的导出到PDF功能中发现了一个严重的本地文件包含 (LFI)漏洞，这可能允许攻击者访问敏感的服务器端数据，包括配置文件、数据库凭据和应用程序源代码。 据研究，漏洞源于HTML到PDF的转换，从而造成了意外的攻击面。 此转换过程缺乏适当的输入验证和文件路径限制，从而导致可以访问服务器指定根目录之外的文件的路径遍历攻击。目前，微软已经修复该漏洞。