漏洞概述 漏洞类型:权限绕过/访问控制缺陷 问题描述:Microsoft Teams 消息处理器中的 配置未能正确强制执行发送者白名单。当配置了团队/频道路由白名单时,路由匹配会错误地将组访问权限扩展到该路由中的每个发送者,导致未授权用户可能获得消息发送权限。 根本原因: 中的 逻辑存在缺陷,当 为真时,错误地将空数组 扩展为通配符 ,导致白名单被绕过。 --- 影响范围 受影响组件: 中的 Teams 消息监控处理器 具体文件: - (核心逻辑) - (测试用例) 风险场景:攻击者若在配置了路由白名单的 Teams 频道中,可能绕过发送者白名单限制发送消息 --- 修复方案 核心代码变更( 第 245-248 行): 关键修改:移除当 为空且 为真时的通配符回退逻辑,确保 始终严格强制执行。 --- 新增安全测试用例 测试验证点:即使 Teams 路由白名单已配置,未在 中的发送者仍应被拒绝访问。