مایکروسافت بهروزرسانیهای امنیتی را برای رفع دو نقص حیاتی که بر Bing و Power Pages تأثیر میگذارد، منتشر کرده است که یکی تحت اکسپلویت فعال قرار گرفته است.
آسیبپذیریهای وصله شده به شرح زیر هستند:
- CVE-2025-21355 (امتیاز CVSS: 8.6): آسیبپذیری اجرای کد از راه دور Microsoft Bing. مایکروسافت در توصیهای گفت: «فقدان احراز هویت برای عملکرد حیاتی در مایکروسافت Bing به نفوذگر غیر مجاز اجازه میدهد تا کد را از طریق شبکه اجرا کند».
- CVE-2025-24989 (امتیاز CVSS: 8.2): آسیبپذیری ارتقا سطح درسترسی Microsoft Power Pages، مربوط به یک مورد کنترل دسترسی نامناسب در Power Pages، یک پلتفرم low-code برای ایجاد، میزبانی و مدیریت وبسایتهای تجاری امن است که که هکرها از آن به عنوان روز صفر در حملات سوء استفاده میکنند. در واقع نفوذگر غیر مجاز میتواند از آن برای ارتقا سطح دسترسی بر روی شبکه و دور زدن کنترل ثبتنام کاربر سوء استفاده کند.
https://www.bleepingcomputer.com/news/security/microsoft-fixes-power-pages-zero-day-bug-exploited-in-attacks/
https://thehackernews.com/2025/02/microsoft-patches-actively-exploited.html
