Microsoft ha lanzado una actualización de seguridad para abordar dos vulnerabilidades críticas. La vulnerabilidad CVE-2025-24989 ha sido explotada activamente, representando un riesgo significativo para los usuarios al permitir la escalación de privilegios y la evasión de controles de acceso.
- CVE-2025-21355 (CVSS 8.6): Se trata de una vulnerabilidad en Microsoft Bing debido a la falta de autenticación en funciones críticas. Este fallo permite a un atacante no autorizado ejecutar código de forma remota a través de la red, lo que representa un grave riesgo de seguridad.
- CVE-2025-24989 (CVSS 8.2): Esta vulnerabilidad afecta a la plataforma Power Pages y se debe a un control de acceso inadecuado. Un atacante no autorizado puede explotar activamente esta falla para escalar privilegios y evadir los mecanismos de control de registro de usuarios.
Productos afectados:
- Microsoft Bing.
- Microsoft Power Pages.
Solución:
- Microsoft ha implementado parches de seguridad para corregir estas vulnerabilidades. En el caso de la CVE-2025-24989, la compañía ha tomado medidas de mitigación, notificando a los clientes afectados y proporcionándoles instrucciones para evaluar posibles indicios de explotación en sus sitios.
Recomendaciones:
- Actualizar de inmediato los productos afectados con los parches de seguridad más recientes.
- Revisar los registros de actividad en Power Pages en busca de posibles accesos no autorizados debido a la explotación activa.
- Implementar controles de seguridad adicionales para restringir el acceso y evitar futuras explotaciones.
Referencias: