Microsoft ha publicado actualizaciones de seguridad para abordar dos defectos con calificación crítica que afectan a las páginas de Bing y Power, incluida una que ha sido de explotación activa en la naturaleza.
Las vulnerabilidades se enumeran a continuación –
- CVE-2025-21355 (Puntuación CVSS: 8.6) – Vulnerabilidad de ejecución de código remoto de Microsoft Bing
- CVE-2025-24989 (Puntuación CVSS: 8.2) – Microsoft Power Pages Elevación de vulnerabilidad de privilegios
«La falta de autenticación para la función crítica en Microsoft Bing permite que un atacante no autorizado ejecute código a través de una red», dijo el gigante tecnológico en un aviso para CVE-2025-21355. No se requiere acción del cliente.
Por otro lado, CVE-2025-24989 se refiere a un caso de control de acceso inadecuado en páginas de energía, una plataforma de bajo código para crear, alojar y administrar sitios web de negocios seguros, que un atacante no autorizado podría explotar para elevar los privilegios a través de una red y Evitar el control de registro del usuario.
Microsoft, que acreditó a su propio empleado Raj Kumar por marcar la vulnerabilidad, lo ha etiquetado con una evaluación de «explotación detectada», lo que indica que es consciente de que al menos una instancia del error que se está armando en la naturaleza.
Dicho esto, el aviso no ofrece ningún detalle sobre la naturaleza o escala de los ataques, la identidad de los actores de amenaza detrás de ellos y quién puede haber sido atacado de tal manera.
«Esta vulnerabilidad ya se ha mitigado en el servicio y todos los clientes afectados han sido notificados», agregó.
«Esta actualización abordó el bypass de control de registro. A los clientes afectados se les ha dado instrucciones sobre la revisión de sus sitios para obtener posibles métodos de explotación y limpieza. Si no ha sido notificado, esta vulnerabilidad no le afecta».
Cuando se le contactó para hacer comentarios, un portavoz de Microsoft le dijo a The Hacker News que «hemos lanzado una solución y que los clientes están protegidos».
CVE-2025-24989 agregado al catálogo de KEV
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), el 21 de febrero de 2025, agregó CVE-2025-24989 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, que requieren que las agencias federales de rama ejecutiva civil (FCEB) apliquen las soluciones necesarias antes del 14 de marzo, 2025.
(La historia se actualizó después de la publicación para incluir una respuesta de Microsoft).