Se ha identificado una vulnerabilidad en Microsoft Power Pages relacionada con el control de acceso, que permite a un atacante no autorizado elevar sus privilegios en una red y eludir controles de registro de usuarios. Aunque esta vulnerabilidad ya ha sido mitigada y se ha notificado a los clientes afectados, es fundamental que estos revisen sus sitios para detectar posibles explotaciones y abordar métodos de depuración. Los clientes que no recibieron notificación no se ven impactados. La gestión proactiva de esta situación es esencial para mantener la seguridad y la integridad de las plataformas afectadas, protegiendo así los datos y operaciones de los usuarios.
Recursos afectados
- Microsoft Power Pages
Análisis técnico
- CVE-2025-24989: Una vulnerabilidad de control de acceso inadecuado en Power Pages permite a un atacante no autorizado elevar privilegios en una red y posiblemente eludir el control de registro de usuarios. Esta vulnerabilidad ya se ha mitigado en el servicio y se ha notificado a todos los clientes afectados. Esta actualización solucionó el problema de eludir el control de registro. Se han dado instrucciones a los clientes afectados para que revisen sus sitios en busca de posibles explotaciones y métodos de depuración.
- CWE-284
- CVSS: 8.2
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
- Explotación: Detectada
Mitigación / Solución
El fabricante recomienda a todos los clientes afectados por la vulnerabilidad de elevación de privilegios en Power Pages que revisen sus sitios para identificar posibles explotaciones, así como que apliquen las instrucciones proporcionadas para la limpieza de sus sistemas. Además, se informa que la vulnerabilidad ya ha sido mitigada en el servicio, asegurando que los controles de registro de usuarios funcionan correctamente. Los usuarios que no hayan recibido notificación no están afectados por esta vulnerabilidad.
Referencias adicionales