Компанія Microsoft усунула серйозну вразливість підвищення привілеїв у Power Pages, яку хакери вже використовували як 0-day.

Вразливість отримала ідентифікатор CVE-2025-24989 (8,2 бала за шкалою CVSS) і являє собою проблему некоректного контролю доступу в Power Pages. Вона дає змогу неавторизованим особам підвищувати привілеї та обходити засоби контролю реєстрації користувачів.

Розробники Microsoft виправили проблему на стороні сервісу, і тепер компанія повідомляє постраждалих користувачів, супроводжуючи своє повідомлення інструкціями з виявлення можливої компрометації.

“Постраждалі клієнти отримали інструкції з перевірки своїх сайтів на предмет потенційної експлуатації та рекомендації щодо усунення наслідків. Якщо ви не отримували таких повідомлень, ця вразливість вас не торкнулася”, – повідомляють у Microsoft.

Зокрема, адміністраторам рекомендується перевірити журнали активності на предмет підозрілих дій, реєстрацій користувачів або несанкціонованих змін. Оскільки CVE-2025-24989 є проблемою підвищення привілеїв, слід також ретельно вивчити списки користувачів і особливо ретельно перевірити адміністраторів і користувачів із високими привілеями.

Компанія не надала жодних подробиць про те, як саме вразливість застосовувалася в атаках. Оскільки Power Pages є хмарним сервісом, експлуатація явно відбувалася віддалено.

Крім недоліку в Power Pages, цього тижня Microsoft також усунула вразливість віддаленого виконання коду в Bing, яка отримала ідентифікатор CVE-2025-21355 (8,6 бала за шкалою CVSS). Про атаки на цей баг нічого не повідомляється.