Microsoft vá lỗ hổng leo thang đặc quyền Power Pages bị khai thác tích cực

Microsoft vá lỗ hổng leo thang đặc quyền Power Pages bị khai thác tích cực

Microsoft đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng được xếp hạng Nghiêm trọng ảnh hưởng đến Bing và Power Pages, bao gồm một lỗ hổng đã bị khai thác tích cực trong thực tế.

Chi tiết các lỗ hổng:

1. CVE-2025-21355: Lỗ hổng thực thi mã từ xa trong Microsoft Bing với điểm CVSS là 8.6. Lỗ hổng này cho phép kẻ tấn công không được xác thực thực thi mã từ xa qua mạng.
2. CVE-2025-24989: Lỗ hổng leo thang đặc quyền trong Microsoft Power Pages với điểm CVSS là 8.2. Lỗ hổng này liên quan đến việc kiểm soát truy cập không đúng cách trong Power Pages, một nền tảng mã thấp để tạo, lưu trữ và quản lý các trang web doanh nghiệp an toàn. Kẻ tấn công không được xác thực có thể khai thác lỗ hổng này để nâng cao đặc quyền qua mạng và bỏ qua kiểm soát đăng ký người dùng.

Microsoft đã gắn nhãn "Đã phát hiện khai thác" cho CVE-2025-24989, cho thấy công ty đã biết về ít nhất một trường hợp lỗ hổng này bị khai thác trong thực tế. Tuy nhiên, thông tin chi tiết về bản chất hoặc quy mô của các cuộc tấn công, danh tính của các tác nhân đe dọa và các mục tiêu cụ thể chưa được tiết lộ.

Microsoft đã thông báo rằng lỗ hổng này đã được giảm thiểu trong dịch vụ và tất cả khách hàng bị ảnh hưởng đã được thông báo. Công ty cũng đã cung cấp hướng dẫn cho khách hàng bị ảnh hưởng về cách xem xét các trang web của họ để phát hiện khai thác tiềm ẩn và phương pháp làm sạch. Nếu bạn không nhận được thông báo, có nghĩa là lỗ hổng này không ảnh hưởng đến bạn.

Ngoài ra, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm CVE-2025-24989 vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), yêu cầu các cơ quan thuộc Nhánh Hành pháp Liên bang Dân sự (FCEB) áp dụng các bản vá cần thiết trước ngày 14 tháng 3 năm 2025.

Người dùng và quản trị viên hệ thống nên nhanh chóng áp dụng các bản vá này để bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn.

Hương – Theo TheHackerNews