零日攻擊再現(xiàn)：Power Pages 被曝高危漏洞，微軟緊急修復(fù)

IT之家 2 月 21 日消息，科技媒體 bleepingcomputer 昨日（2 月 20 日）發(fā)布博文，報(bào)道稱微軟公司發(fā)布安全公告，披露 Power Pages 平臺(tái)存在一個(gè)高危權(quán)限提升漏洞，且有證據(jù)表明該漏洞已被黑客利用進(jìn)行零日攻擊。

該漏洞追蹤編號(hào)為 CVE-2025-24989，影響 Microsoft Power Pages，屬于訪問控制不當(dāng)問題，允許未授權(quán)用戶提升其在網(wǎng)絡(luò)上的權(quán)限并繞過用戶注冊(cè)控制。

IT之家注：Power Pages 是一個(gè)低代碼、基于 SaaS 的 Web 開發(fā)平臺(tái)，允許用戶創(chuàng)建、托管和管理面向外部的安全商業(yè)網(wǎng)站，隸屬于 Microsoft Power Platform。

微軟表示已在服務(wù)層面修復(fù)了該漏洞，并通知了受影響的客戶，同時(shí)提供了檢測(cè)潛在入侵的指南，但仍建議管理員采取以下措施：

• 審查活動(dòng)日志，查找可疑操作、用戶注冊(cè)或未經(jīng)授權(quán)的更改。

• 仔細(xì)檢查用戶列表，驗(yàn)證管理員和高權(quán)限用戶。

• 檢查最近的權(quán)限、安全角色、許可和網(wǎng)頁訪問控制的更改。

• 立即撤銷惡意帳戶或顯示未授權(quán)活動(dòng)的帳戶，重置受影響的憑據(jù)，并在所有帳戶上強(qiáng)制執(zhí)行多因素身份驗(yàn)證 (MFA)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。