微软发布安全公告，披露Power Pages平台存在高危权限提升漏洞CVE-2025-24989，该漏洞已被黑客利用进行零日攻击。Power Pages是一个低代码Web开发平台，允许用户创建和管理面向外部的安全商业网站。该漏洞属于访问控制不当问题，允许未授权用户提升权限并绕过用户注册控制。微软已在服务层面修复漏洞并通知受影响客户，同时建议管理员审查活动日志，检查用户列表，验证管理员权限，并立即撤销恶意账户，重置受影响凭据，强制执行多因素身份验证。

🚨Power Pages平台存在高危权限提升漏洞CVE-2025-24989，该漏洞已被黑客利用进行零日攻击，对用户安全构成严重威胁。

🛡️微软已在服务层面修复该漏洞，并建议管理员采取措施，包括审查活动日志、检查用户列表、验证管理员权限等，以检测潜在入侵。

🔑管理员应立即撤销恶意账户或显示未授权活动的账户，重置受影响凭据，并在所有帐户上强制执行多因素身份验证 (MFA)，以提升安全性。

IT之家 2 月 21 日消息，科技媒体 bleepingcomputer 昨日（2 月 20 日）发布博文，报道称微软公司发布安全公告，披露 Power Pages 平台存在一个高危权限提升漏洞，且有证据表明该漏洞已被黑客利用进行零日攻击。

该漏洞追踪编号为 CVE-2025-24989，影响 Microsoft Power Pages，属于访问控制不当问题，允许未授权用户提升其在网络上的权限并绕过用户注册控制。

IT之家注：Power Pages 是一个低代码、基于 SaaS 的 Web 开发平台，允许用户创建、托管和管理面向外部的安全商业网站，隶属于 Microsoft Power Platform。

微软表示已在服务层面修复了该漏洞，并通知了受影响的客户，同时提供了检测潜在入侵的指南，但仍建议管理员采取以下措施：

审查活动日志，查找可疑操作、用户注册或未经授权的更改。

仔细检查用户列表，验证管理员和高权限用户。

检查最近的权限、安全角色、许可和网页访问控制的更改。

立即撤销恶意帐户或显示未授权活动的帐户，重置受影响的凭据，并在所有帐户上强制执行多因素身份验证 (MFA)。