Microsoft исправил уязвимость в Power Pages и предупреждает пользователей быть бдительными

Microsoft недавно обнаружил и устранил высокозначимый баг в Power Pages. Этот баг позволял злоумышленникам входить на целевые сайты. Уязвимость была исправлена, но Microsoft предупреждает потенциальных жертв быть начеку.

Microsoft устранила высокозначимую уязвимость в своем продукте Power Pages и предупредила пользователей о возможности эксплуатации этой уязвимости. Компания недавно опубликовала подробности об ошибке CVE-2025-24989, связанной с неправильным управлением доступом в Power Pages. Эта уязвимость позволяла неавторизованным атакующим повысить свои привилегии через сеть и обойти контроль регистрации пользователей. То есть злоумышленники могли использовать эту уязвимость для входа на чужие сайты. Уровень серьезности этой ошибки оценен в 8,2 из 10 (высокий).

Сведения об авторах атаки и количестве затронутых сайтов отсутствуют. По данным Microsoft, Power Pages используется более чем 250 миллионами активных пользователей сайтов ежемесячно, включая Национальную службу здравоохранения Великобритании.

Устраненные уязвимости

Microsoft Power Pages — это платформа с низкой кодовой сложностью для создания безопасных и на основе данных сайтов. Платформа позволяет пользователям создавать и настраивать сайты с помощью простого перетаскивания элементов, а также интегрироваться с другими службами Microsoft, такими как Power Automate и Dataverse. Она предназначена для предприятий и организаций, которые нуждаются во внешних порталах для клиентов, партнеров или сотрудников без необходимости глубоких знаний в области программирования.

Power Pages является сервисом с управляемым программным обеспечением (SaaS), что означает, что все исправления и обновления осуществляются Microsoft на своих серверах. Компания уже внедрила исправление, но это не значит, что проблема полностью устранена. Похоже, что киберпреступники обнаружили этот баг раньше Microsoft и использовали его для доступа хотя бы к нескольким сайтам.

Невозможно точно знать, какие действия были предприняты злоумышленниками с полученным доступом. Они могли перенаправлять пользователей на вредоносные сайты, распространять злонамеренную рекламу, красть данные и многое другое.

Компания предупреждает некоторых пользователей быть бдительными и следить за признаками эксплуатации уязвимости. «Эта уязвимость уже была устранена в сервисе, и всех затронутых клиентов были проинформированы», — заявила Microsoft. «Затронутым клиентам даны инструкции по проверке своих сайтов на возможную эксплуатацию и методы очистки. Если вы не получали уведомление, эта уязвимость вас не затрагивает».