微軟修復Power Pages安全漏洞，提醒用戶莫放鬆警惕

微軟已修復其Power Pages產品中的一個高危漏洞，還警告用戶要注意有沒有被利用的跡象。

該公司近期公佈了CVE - 2025 - 24989的相關細節，這是Power Pages中一個訪問控制不當的漏洞，它可讓未經授權的攻擊者在網絡上提升權限，有可能繞過用戶註冊控制。換句話說，未經授權的攻擊者可利用該漏洞登錄他人的網站。該漏洞的嚴重程度評分爲8.2/10（高危）。

我們不知道誰是此次攻擊的幕後黑手，也不知道有多少網站受到影響。據微軟稱，Power Pages每月有超過2.5億活躍網站用戶，其中包括英國國家醫療服務體系（NHS）。

微軟Power Pages（平臺）是一個低代碼平臺，用於構建安全的、數據驅動的網站，讓用戶能夠輕鬆地通過拖放操作創建和定製網站，同時與Power Automate和Dataverse等其他微軟服務集成。

它是爲那些需要爲客戶、合作伙伴或員工建立對外門戶，且無需大量編碼專業知識的企業和組織而設計的。它是一種軟件即服務（SaaS），這意味着所有的補丁和更新都由微軟在其服務器上完成。

公司已經部署了補丁，但這並不意味着麻煩就沒了。

顯然，網絡罪犯比微軟更早發現這個漏洞，並利用它獲取了至少幾個網站的權限。我們不可能知道他們利用這個權限做了什麼。他們可能會將人們重定向到惡意網站、推送惡意廣告、竊取數據等等。

公司警告一些用戶要小心，留意是否有漏洞被利用的情況。

微軟表示：“該漏洞在服務方面已被化解，所有受影響的客戶都已收到通知。已向受影響的客戶提供了檢查他們的站點是否有被利用的潛在風險以及清理方法的指示。如果您未收到通知，則此漏洞不會影響您。”