مایکروسافت یک آسیب ‌پذیری مهم در Power Pages را پچ کرد

مایکروسافت، نوزدهم فوریه ۲۰۲۵، به ‌روزرسانی‌های امنیتی برای پچ دو آسیب پذیری بحرانی در Bing و Power Pages منتشر کرد. آسیب پذیری مربوط به Power Pages بصورت فعال در حال اکسپلویت می‌باشد.

این آسیب ‌پذیری‌ها به شرح زیر هستند:

• CVE-2025-21355 (امتیاز CVSS: 8.6) – یک آسیب ‌پذیری اجرای کد از راه دور (RCE) در Microsoft Bing است که از طریق آن مهاجمان می‌توانند به طور غیرمجاز کد خود را از راه دور اجرا کنند. این آسیب ‌پذیری به دلیل عدم احراز هویت برای عملکردهای بحرانی در Bing رخ می‌دهد. به این معنا که مهاجمان می‌توانند بدون نیاز به احراز هویت و ورود به سیستم، کدهای مخرب را از راه دور اجرا کنند و به منابع داخلی سیستم دست یابند.
• CVE-2025-24989 (امتیاز CVSS: 8.2) – یک آسیب ‌پذیری افزایش سطح دسترسی در Microsoft Power Pages است که مربوط به مدیریت نادرست دسترسی می‌باشد. این آسیب پذیری به مهاجمان غیرمجاز این امکان را می‌دهد که از طریق شبکه سطح دسترسی خود را افزایش دهند و احتمالاً کنترل ثبت‌نام کاربران را دور بزنند.

Microsoft Power Pages یک پلتفرم کم‌کد (low-code) است که به کاربران این امکان را می‌دهد تا وب‌سایت‌های تجاری، سازمانی یا سفارشی را به ‌راحتی و سریع ایجاد، میزبانی و مدیریت کنند. این پلتفرم به خصوص برای افراد یا تیم‌هایی که نیاز به ساخت وب‌سایت‌های حرفه‌ای دارند اما برنامه‌نویسی پیچیده نمی‌خواهند، مناسب است.

مایکروسافت از حداقل یک نمونه اکسپلویت آسیب پذیری CVE-2025-24989 آگاه است. با این حال، در اطلاعیه‌ی منتشر شده مایکروسافت، هیچگونه جزئیاتی در مورد ماهیت یا مقیاس حملات، هویت مهاجمان پشت آن‌ها و یا اینکه چه کسانی ممکن است هدف این حملات قرار گرفته باشند، ارائه نشده است.

به گفته مایکروسافت، آسیب ‌پذیری CVE-2025-24989 در سرویس Microsoft Power Pages به‌طور کامل پچ شده و به تمام مشتریان آن اطلاع‌رسانی شده‌ است. مشتریانی که تحت تأثیر این آسیب پذیری قرار دارند، دستورالعمل‌هایی برای بررسی سایت‌های خود به منظور یافتن هر گونه شواهد سوء استفاده و روش‌های پاک‌سازی آنها دریافت کرده‌اند.

سازمان امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، بیست و یکم فوریه ۲۰۲۵، آسیب ‌پذیری CVE-2025-24989 را به فهرست KEV افزود و از آژانس‌های FCEB (سازمان‌های دولتی فدرال) درخواست کرد که تا تاریخ ۱۴ مارس ۲۰۲۵، اصلاحات لازم را اعمال کنند.

منابع