2月19日微軟發布資安公告,修補低程式碼網站建置平臺Power Pages、搜尋引擎Bing的高風險漏洞CVE-2025-24989、CVE-2025-21355,並指出CVE-2025-24989已被用於實際攻擊行動。
CVE-2025-24989是權限提升漏洞,起因是Power Pages存取控制不當造成,未經授權的攻擊者能繞過使用者註冊的控制機制,並進行權限提升,CVSS風險達到8.2分,微軟評估風險達到重大層級。
有部分用戶目前受到這項漏洞的影響,因為這項漏洞被用於攻擊行動,微軟雖然已在服務層級進行緩解,但仍無法讓所有用戶都不受到衝擊,他們已發出通知,提供檢查網站是否受害的檢測方法,以及清理的步驟。
另一個漏洞CVE-2025-21355,則與遠端程式碼執行(RCE)有關,微軟提及發生的原因在於Bing的重要功能缺乏身分驗證,使得未經授權的攻擊者有機會透過網路執行程式碼,風險值為8.6。
熱門新聞
2025-02-24
2025-02-24
2025-02-23
Advertisement