أصدرت شركة مايكروسوفت تحديثات أمان لمعالجة ثغرتين تحملان تصنيف “حرجة” تؤثران على Bing وPower Pages، بما في ذلك واحدة تعرضت للاستغلال النشط.
تم سرد الثغرات كما يلي:
– CVE-2025-21355 درجة CVSS: 8.6 : ثغرة تنفيذ التعليمات البرمجية عن بُعد في Microsoft Bing
– CVE-2025-24989 درجة CVSS: 8.2 : ثغرة تصعيد الامتيازات في Microsoft Power Pages
أوضحت الشركة في تحذيرها حول CVE-2025-21355: “عدم وجود مصادقة لوظيفة حرجة في Microsoft Bing يسمح لمهاجم غير مصادق بتنفيذ التعليمات البرمجية عبر الشبكة”. ولا يتطلب الأمر أي إجراء من العملاء.
تفاصيل الثغرات الأمنية
من ناحية أخرى، تتعلق CVE-2025-24989 بحالة من التحكم غير المناسب في الوصول في Power Pages، وهي منصة منخفضة الأكواد لإنشاء واستضافة وإدارة مواقع الأعمال الآمنة. يمكن أن يستغل المهاجم غير المصادق هذه الثغرة لرفع الامتيازات عبر الشبكة وتجاوز التحكم في تسجيل المستخدم.
وأشارت مايكروسوفت، التي نسب الفضل فيها إلى موظفها راج كومار لإبراز الثغرة، إلى أنها قد تم تصنيفها بتقييم “تم اكتشاف استغلال”، مما يشير إلى أنها تدرك وجود حالة واحدة على الأقل من استغلال هذه الثغرة في البرية.
الإجراءات المتخذة
ومع ذلك، لم يقدم التحذير أي تفاصيل عن طبيعة أو نطاق الهجمات، أو هوية الجهات المهاجمة وراءها، أو من قد يكون مستهدفًا بهذه الطريقة.
وأضافت الشركة: تم بالفعل التخفيف من هذه الثغرة في الخدمة وتم إخطار جميع العملاء المتضررين.
وقد عالج هذا التحديث تجاوز التحكم في التسجيل، تم تزويد العملاء المتضررين بتعليمات لمراجعة مواقعهم للتحقق من استغلال محتمل وأساليب التنظيف، إذا لم يتم إخطارك، فإن هذه الثغرة لا تؤثر عليك.
وصلت The Hacker News إلى مايكروسوفت للحصول على مزيد من التعليقات، وسنقوم بتحديث القصة إذا حصلنا على رد.
