Компания Microsoft устранила серьезную уязвимость повышения привилегий в Power Pages, которую хакеры уже использовали в качестве 0-day.
Уязвимость получила идентификатор CVE-2025-24989 (8,2 балла по шкале CVSS) и представляет собой проблему некорректного контроля доступа в Power Pages. Она позволяет неавторизованным лицам повышать привилегии и обходить средства контроля регистрации пользователей.
Разработчики Microsoft исправили проблему на стороне сервиса, и теперь компания уведомляет пострадавших пользователей, сопровождая свое сообщение инструкциями по обнаружению возможной компрометации.
«Затронутые клиенты получили инструкции по проверке своих сайтов на предмет потенциальной эксплуатации и рекомендации по устранению последствий. Если вы не получали таких уведомлений, эта уязвимость вас не затронула», — сообщают в Microsoft.
В частности, администраторам рекомендуется проверить журналы активности на предмет подозрительных действий, регистраций пользователей или несанкционированных изменений. Поскольку CVE-2025-24989 представляет собой проблему повышения привилегий, следует также тщательно изучить списки пользователей и особенно тщательно проверить администраторов и пользователей с высокими привилегиями.
Компания не предоставила никаких подробностей о том, как именно уязвимость применялась в атаках. Поскольку Power Pages является облачным сервисом, эксплуатация явно происходила удаленно.
Помимо недостатка в Power Pages, на этой неделе Microsoft также устранила уязвимость удаленного выполнения кода в Bing, которая получила идентификатор CVE-2025-21355 (8,6 балла по шкале CVSS). Об атаках на этот баг ничего не сообщается.
