Writer AI Vulnerability May Have Leaked Across Tenants via Live Preview

Ranjivost u Writer AI mogla je da procuri između zakupaca kroz live preview
Kolege, želim da skrenem pažnju na incident iz oblasti sajber bezbednosti i AI.
U Writer AI je otkrivena kritična greška u izolaciji sesija. Preko live preview funkcije napadač je mogao da preuzme session token korisnika iz druge kompanije.
Korisnik otvara link, pregledač šalje cookie, a sandbox dobija pristup tokenu i podacima naloga.
To je moglo da omogući pristup četovima, dokumentima i podešavanjima, a u pojedinim slučajevima i adminskoj funkciji.
Problem je već otklonjen: cookie se više ne prosleđuju u sandbox preview, a preview je prebačen na isolated origin.
Zašto je ovo važno: AI funkcije zahtevaju strogu izolaciju i kontrolu tenant separation.
A Vi preispitujete politiku rada sa preview linkovima i sandboxom?
#sajberbezbednost #AI #ranjivost #infosec


Latest comments
No comments yet.