Microsoft corrige CVE-2025-24989, una vulnerabilidad en Power Pages explotada para elevar privilegios.
Microsoft Power Pages es una plataforma de desarrollo web basada en SaaS y poco código que permite a los usuarios crear, alojar y administrar sitios web empresariales seguros orientados hacia el exterior [2].
Sobre la Vulnerabilidad
La vulnerabilidad, identificada bajo el código CVE-2025-24989, consiste en un fallo de control de acceso en Power Pages. Este problema permite que actores no autorizados escalen privilegios a través de una red y evaden los mecanismos de autenticación y registro de usuarios.
Respuesta y Mitigación de Microsoft
A las pocas horas de la detección, Microsoft implementó correcciones en toda su infraestructura en la nube. Los clientes afectados recibieron orientación personalizada para:
- Auditar las configuraciones del sitio para los seguimientos de explotación
- Eliminar asignaciones de privilegios no autorizadas
- Refuerce los controles de acceso con funciones de seguridad actualizadas
Recomendaciones
- Auditoría continúa utilizando el kit de inicio CoE de Microsoft para detectar vulnerabilidades residuales.
- Validación inmediata de las asignaciones de roles de usuario y los flujos de trabajo de registro
- Activación de Entra Privileged Identity Management para aplicar el acceso justo a tiempo para roles con privilegios altos.
- Aproveche las características de seguridad renovadas, como la autenticación, la clave, la supervisión y las alertas de certificados SSL en el Centro de administración de Power Platform.
Referencias
[1] «SecurityWeek,» [En línea]. Available: https://www.securityweek.com/microsoft-patches-exploited-power-pages-vulnerability/.
[2] «BleepingComputer,» [En línea]. Available: https://www.bleepingcomputer.com/news/security/microsoft-fixes-power-pages-zero-day-bug-exploited-in-attacks/.
