2 月 21 日消息,科技媒体 bleepingcomputer 昨日(2 月 20 日)发布博文,报道称微软公司发布安全公告,披露 Power Pages 平台存在一个高危权限提升漏洞,且有证据表明该漏洞已被黑客利用进行零日攻击。
该漏洞追踪编号为 CVE-2025-24989,影响 Microsoft Power Pages,属于访问控制不当问题,允许未授权用户提升其在网络上的权限并绕过用户注册控制。
Power Pages 是一款安全的企业级低代码服务型软件 (SaaS) 平台,用于创建、托管和管理面向外部的现代商业网站。 无论您是低代码制作者还是专业开发人员,Power Pages 都支持您快速设计、配置和发布可在各种 Web 浏览器和设备上运行的网站,Power Pages是微软旗下的项目。
微软表示已在服务层面修复了该漏洞,并通知了受影响的客户,同时提供了检测潜在入侵的指南,但仍建议管理员采取以下措施:
- 审查活动日志,查找可疑操作、用户注册或未经授权的更改。
- 仔细检查用户列表,验证管理员和高权限用户。
- 检查最近的权限、安全角色、许可和网页访问控制的更改。
- 立即撤销恶意帐户或显示未授权活动的帐户,重置受影响的凭据,并在所有帐户上强制执行多因素身份验证 (MFA)。
