聚焦源代码安全,网罗国内外最新资讯!
该漏洞是影响 Power Pages 的访问控制不当问题,可导致越权人员提升权限并绕过用户的注册控制。微软表示已在服务层面解决该风险并通知受影响客户,披露了如何检测潜在攻陷的指南。微软在安全通告中提到,“该漏洞已在服务中缓解,已通知所有受影响客户。该更新修复了注册控制绕过问题。受影响客户已获得如何查看和清理网站中潜在利用的指南。如您未收到该漏洞通知,则您并未受影响。”
微软Power Pages 是一个低代码的基于SaaS 的web开发平台,可使用户创建、托管并管理安全的面向外部的业务网站。它是微软 Power Platform的一部分,后者包括 Power BI、Power Apps和Power Automate等。
由于 Power Pages 是一款基于云的服务,因此利用可能是远程发生的。微软并未透露利用详情。除了该漏洞外,微软还修复了Bing中的一个远程代码执行漏洞 (CVE-2025-21355),不过该漏洞并未遭利用。
微软已向 Power Pages 服务应用修复方案,并以非公开的方式直接与受影响客户分享指南。不过用户仍可考虑一些通用的安全建议。
管理员应当查看活动日志中的可疑操作、用户注册或越权变更。由于CVE-2025-24989是一个提权漏洞,但也应审计用户清单,验证管理员和高权限用户。还应进一步查看权限、安全角色、许可和网页访问控制中的变化。应当立即删除恶意账户或者显示越权活动的账户,重置受影响凭据并在所有账户中执行多因素认证机制。
用户如未收到微软通知,则表明系统并未受影响。
https://www.bleepingcomputer.com/news/security/microsoft-fixes-power-pages-zero-day-bug-exploited-in-attacks/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~