Microsoft ha publicado actualizaciones de seguridad para abordar dos defectos con calificación crítica que afectan a las páginas de Bing y Power, incluida una que ha sido de explotación activa en la naturaleza.
Las vulnerabilidades se enumeran a continuación –
- CVE-2025-21355 (Puntuación CVSS: 8.6) – Vulnerabilidad de ejecución de código remoto de Microsoft Bing
- CVE-2025-24989 (Puntuación CVSS: 8.2) – Microsoft Power Pages Elevación de vulnerabilidad de privilegios
“La falta de autenticación para la función crítica en Microsoft Bing permite que un atacante no autorizado ejecute código a través de una red”, dijo el gigante tecnológico en un aviso para CVE-2025-21355. No se requiere acción del cliente.
Por otro lado, CVE-2025-24989 se refiere a un caso de control de acceso inadecuado en Páginas de energíauna plataforma de bajo código para crear, alojar y administrar sitios web de negocios seguros, que un atacante no autorizado podría explotar para elevar los privilegios a través de una red y evitar el control de registro del usuario.
Microsoft, que acreditó a su propio empleado Raj Kumar por marcar la vulnerabilidad, lo ha etiquetado con una evaluación de “explotación detectada”, lo que indica que es consciente de que al menos una instancia del error que se está armando en la naturaleza.
Dicho esto, el aviso no ofrece ningún detalle sobre la naturaleza o escala de los ataques, la identidad de los actores de amenaza detrás de ellos y quién puede haber sido atacado de tal manera.
“Esta vulnerabilidad ya se ha mitigado en el servicio y todos los clientes afectados han sido notificados”, agregó.
“Esta actualización abordó el bypass de control de registro. A los clientes afectados se les ha dado instrucciones sobre la revisión de sus sitios para obtener posibles métodos de explotación y limpieza. Si no ha sido notificado, esta vulnerabilidad no le afecta”.
Hacker News se ha comunicado con Microsoft para obtener más comentarios, y actualizaremos la historia si recibimos una respuesta.
About the Author
