U.S. CISA adds Microsoft Power Pages flaw to its Known Exploited Vulnerabilities catalog
2025/02/23 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Power Pages の脆弱性 CVE-2025-24989 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
この脆弱性 CVE-2025-24989 (CVSS:8.2) は、Power Pages の不適切なアクセス制御に起因する。この脆弱性の悪用に成功した権限のない攻撃者は、ネットワーク上で権限を昇格し、ユーザー登録制御をバイパスする可能性を手にする。
この脆弱性は、Microsoft の Raj Kumar により報告されたものだ。今週になって、この問題に対処した Microsoft は、実際に悪用されていることを認めている。
Microsoft が公開したアドバイザリには、「影響を受けるユーザーに対して強く推奨するのは、潜在的な悪用についてサイト内を見直し、クリーンアップ方法を確認することだ。なお、通知を受けていない場合には、この脆弱性の影響は生じない」と記されている。
拘束力のある運用指令 (BOD) 22-01:この脆弱性による重大なリスクを軽減するために、FCEB 機関は、指定された期限内にネットワークを保護する必要がある。CISA は連邦政府機関に対して、2025年3月21日までに、この脆弱性を修正するよう命じている。
なお、専門家たちは、このカタログを民間組織も確認し、インフラの脆弱性に対処することを推奨している。
Microsoft Power Pages の脆弱性 CVE-2025-24989 が、CISA KEV に登録されました。この脆弱性が悪用されると、機密コンテンツや管理機能への不正なアクセスに至る可能性があるとのことです。詳細は、2025/02/20 の「Microsoft Power Pages の脆弱性 CVE-2025-24989:悪用の報告と今後の対処について」に記述されています。よろしければ、CISA KEV ページと併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.