CVE-2025-24989

Microsoft Power Pages

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-02-21

Официальное описание

Microsoft Power Pages contains an improper access control vulnerability that allows an unauthorized attacker to elevate privileges over a network potentially bypassing the user registration control.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-24989 представляет собой критическую уязвимость в Microsoft Power Pages, связанную с некорректным управлением доступом (Improper Access Control). Проблема кроется в логике обработки регистрации пользователей и назначения ролей.

Неавторизованный злоумышленник может отправить специально сформированные сетевые запросы к конечным точкам регистрации сайта. Это позволяет обойти установленные администратором ограничения на регистрацию и автоматически получить повышенные привилегии (Elevated Privileges). В результате атакующий может получить доступ к защищенным данным или административным функциям портала, которые должны быть закрыты для публичных пользователей.

Как исправить

Поскольку Power Pages является решением класса Software-as-a-Service (SaaS), основная часть исправлений внедряется на стороне инфраструктуры Microsoft. Однако администраторам необходимо убедиться, что их конфигурации обновлены и соответствуют безопасным версиям.

  1. Проверьте версию решения Power Pages в центре администрирования Power Platform. Исправление включено в пакеты обновлений, выпущенные в феврале 2025 года.

  2. Принудительно обновите пакеты «Power Pages Core» до последней доступной версии через интерфейс управления решениями (Solutions).

  3. Если вы используете кастомные формы регистрации, убедитесь, что в настройках сайта (Site Settings) включена строгая проверка метаданных.

Временные меры

Если немедленное обновление или проверка конфигурации невозможны, примените следующие защитные меры для снижения риска эксплуатации:

  1. Временно отключите открытую регистрацию пользователей, установив параметр Authentication/Registration/Enabled в значение false.

  2. Ограничьте доступ к страницам регистрации по IP-адресам, используя Azure Front Door или Web Application Firewall (WAF), если это применимо к вашей архитектуре.

  3. Проверьте список пользователей с ролью «Administrators» на наличие подозрительных учетных записей, созданных недавно.

  4. Используйте PowerShell для аудита настроек аутентификации во всех средах:

Get-PowerAppManagementVisualizer -EnvironmentName "YourEnvironmentID"
  1. Включите расширенное логирование (Telemetry) в Azure Application Insights для отслеживания аномальных всплесков запросов к путям /Account/Login/Register.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей