В Банке данных угроз безопасности информации (BDU) появилась запись о новой критической уязвимости в Microsoft Power Pages - платформе для создания веб-сайтов и порталов. Ей присвоен идентификатор BDU:2026-07700, а также международный номер CVE-2026-23652. Проблема оказалась настолько серьезной, что обе версии стандарта CVSS присвоили ей максимальные десять баллов из десяти. Это означает самый высокий уровень опасности.
Детали уязвимости
Суть уязвимости кроется в отсутствии мер по очистке входных данных. Производитель не предусмотрел фильтрацию данных, которые поступают от пользователя. Злоумышленник может отправить специально сформированный запрос, и сервер выполнит его без проверки. Такая ошибка классифицируется как CWE-77 - непринятие мер по чистке данных на управляющем уровне, что ведет к внедрению команды. Простыми словами, атакующий получает возможность выполнить произвольный код на сервере, где работает Power Pages. Причем для этого не нужна ни аутентификация, ни какие-либо привилегии. Достаточно иметь доступ к сети.
Вектор атаки выглядит следующим образом: нарушитель действует удаленно, сложность эксплуатации низкая, а последствия затрагивают конфиденциальность, целостность и доступность системы в полном объеме. По шкале CVSS 3.1 оценка 10,0 достигается за счет того, что атака не требует прав пользователя, не требует взаимодействия с жертвой, а влияние выходит за пределы уязвимого компонента. Иными словами, компрометация одного сайта на Power Pages может позволить атакующему перейти на другие ресурсы в той же инфраструктуре.
Microsoft Power Pages - это облачная платформа для создания сайтов, которая входит в экосистему Power Platform. Ее используют как крупные корпорации, так и государственные учреждения. С помощью Power Pages разрабатывают внешние порталы для клиентов, внутренние корпоративные сайты, формы для сбора данных и даже целые информационные системы. Уязвимость затрагивает все версии программного обеспечения, точная версия в описании не указана, но производитель уже подтвердил проблему и выпустил обновление.
Чем опасна такая уязвимость на практике? Представьте себе сайт, через который компания принимает заявки от клиентов. Злоумышленник может отправить вредоносную команду в поле ввода, и сервер выполнит ее. В результате он получит полный контроль над веб-сервером. Дальнейшие действия зависят от целей нарушителя. Он может украсть базу данных пользователей, изменить содержимое страниц, установить программы-вымогатели (ransomware) или использовать сервер как точку для атак на другие системы внутри сети организации. Поскольку платформа часто интегрируется с другими сервисами Microsoft, такими как Dynamics 365 или Azure Active Directory, компрометация одного портала может открыть путь к более масштабной утечке.
Важно понимать, что уязвимость уже подтверждена производителем. В официальном бюллетене Microsoft Security Response Center указано, что проблема устранена. Компания рекомендует установить последнее обновление программного обеспечения.
Тем не менее многие организации могут не успеть вовремя обновиться. По данным аналитиков, платформа Power Pages используется тысячами компаний по всему миру. С момента публикации уязвимости до появления патча прошло несколько дней, но злоумышленники могли уже начать сканирование интернета на предмет уязвимых экземпляров. Пока нет точных данных о существовании публичного эксплойта, но учитывая простоту атаки, его появление - лишь вопрос времени.
Что делать администраторам и специалистам по информационной безопасности? В первую очередь проверить, используется ли в организации Microsoft Power Pages. Затем как можно быстрее установить обновление, которое закрывает CVE-2026-23652. Если по каким-то причинам установка патча невозможна, следует временно ограничить доступ к порталам из внешних сетей, настроить веб-брандмауэр (WAF) с фильтрацией инъекций, а также усилить мониторинг событий безопасности. Рекомендуется также просмотреть логи на предмет подозрительных запросов, особенно тех, что содержат служебные символы или команды.
Надо отметить, что подобные уязвимости в low-code платформах становятся настоящей головной болью для защитников. С одной стороны, они позволяют быстро создавать приложения без глубоких знаний программирования. С другой - разработчики таких платформ не всегда уделяют должное внимание безопасности входных данных. В результате одна ошибка в коде может поставить под удар всю экосистему организации.
В данном случае Microsoft сработала оперативно: уязвимость выявлена в мае, и к моменту публикации в BDU уже существует исправление. Однако пользователям стоит поторопиться. Чем дольше система остается незакрытой, тем выше риск атаки. Критичность оценки CVSS 10,0 означает, что промедление может стоить очень дорого - от финансовых потерь до репутационного ущерба.
Подводя итог: уязвимость в Microsoft Power Pages позволяет удаленно выполнить произвольный код без аутентификации. Она критическая, простая в эксплуатации и затрагивает все версии продукта. Производитель выпустил обновление, которое необходимо установить безотлагательно. Специалистам по безопасности стоит провести аудит используемых экземпляров Power Pages и принять меры защиты до того, как атакующие воспользуются лазейкой. Эта история в очередной раз напоминает: даже облачные платформы с большими ресурсами не застрахованы от ошибок кода, а своевременное обновление программного обеспечения остается главным щитом против большинства киберугроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-07700
- https://www.cve.org/CVERecord?id=CVE-2026-23652
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23652
