Microsoft Power Pages, což je platforma pro snadné vytváření webových aplikací, se potýká s vážnou bezpečnostní chybou označovanou jako zero-day zranitelnost (CVE‑2025‑24989). Tato chyba umožňuje útočníkům, kteří nemají žádná uživatelská práva, získat vyšší oprávnění a obejít běžný proces registrace uživatelů. Jinými slovy, kdokoliv bez povolení může proniknout do systému a získat kontrolu, což představuje velké bezpečnostní riziko. Problém už byl aktivně zneužíván, což znamená, že není teoretický, ale reálný a aktuální.
Jak exploit funguje: Bypass uživatelské registrace
Zranitelnost spočívá ve špatné validaci přístupu: útočník může obejít kontrolu registrace uživatele a následně zvýšit své oprávnění – např. stažení citlivých dat, úprava nastavení, či nasazení škodlivého web shellu.
- Microsoft vydal rychlý bezpečnostní bulletin 20. 2. 2025, který informoval o patchech provedených na úrovni služby a o tom, že dotčení zákazníci byli soukromě upozorněni s doporučením čistících kroků .
- CISA zařadila CVE‑2025‑24989 na seznam Known Exploited Vulnerabilities, přičemž federálním organizacím uložila povinnost provést mitigaci do 14. března 2025 .
- Chyba získala vysoké CVSS skóre 9.8, je tedy kritická – umožňuje zneužití na dálku bez interakce uživatele.
CVE‑2025‑24989 je jedinečný identifikátor bezpečnostní zranitelnosti v softwaru. Zkratka CVE znamená Common Vulnerabilities and Exposures – tedy běžné bezpečnostní chyby, které mohou ohrozit systémy nebo aplikace. Číslo 2025 označuje rok, kdy byla chyba zveřejněna, a poslední část (24989) je konkrétní číslo této zranitelnosti.
Takové označení pomáhá odborníkům přesně identifikovat a řešit konkrétní bezpečnostní problémy a zároveň usnadňuje komunikaci mezi výrobci softwaru, bezpečnostními týmy i uživateli.
