Microsoft soluciona una vulnerabilidad de seguridad en Power Pages y advierte a los usuarios que mantengan precaución.

Se ha encontrado y corregido una vulnerabilidad de alta severidad en Power Pages de Microsoft, que permitía a actores maliciosos acceder a sitios web objetivos. A pesar de que la brecha de seguridad ha sido solucionada, la compañía ha emitido una advertencia a los usuarios para que mantengan precaución ante posibles señales de explotación.

Recientemente, fueron divulgados los detalles sobre la vulnerabilidad catalogada como CVE-2025-24989, relacionada con un control de acceso inapropiado en Power Pages. Esta falla autorizaba a atacantes no autorizados a escalar privilegios a través de una red, lo que podría permitirles eludir el control de registro de usuarios. En términos simples, esto significaba que los atacantes podían infiltrarse en los sitios web de otras personas. La vulnerabilidad recibió una calificación de severidad de 8.2 sobre 10, lo que la clasifica como alta.

Hasta el momento, se desconoce la identidad de los responsables del ataque, así como la cantidad de sitios que podrían haberse visto comprometedores. Se estima que Power Pages cuenta con más de 250 millones de usuarios activos mensuales, incluyendo instituciones como el Servicio Nacional de Salud de Gran Bretaña.

Power Pages es una plataforma de bajo código diseñada para la creación de sitios web seguros y basados en datos, lo que permite a los usuarios construir y personalizar sitios con facilidad, integrándose con otros servicios de Microsoft como Power Automate y Dataverse. Se enfoca en empresas y organizaciones que requieren portales accesibles para clientes, socios o empleados, sin la necesidad de contar con amplios conocimientos en programación. Como servicio de Software como Servicio (SaaS), todas las actualizaciones y parches son gestionados directamente por Microsoft en sus servidores.

Aunque la compañía ha implementado ya la mejora de seguridad, esto no asegura que todos los problemas hayan sido resueltos. Según se reporta, algunos cibercriminales pudieron haber utilizado la vulnerabilidad antes de que Microsoft la identificara, accediendo a al menos un número indeterminado de sitios web. Los posibles usos de este acceso no se conocen con claridad, pero podrían incluir redirigir usuarios a sitios maliciosos, difundir publicidad engañosa o robar datos.

Microsoft ha advertido a ciertos usuarios que deben estar alertas y buscar indicios de cualquier posible explotación. La compañía indicó que "esta vulnerabilidad ha sido mitigada en el servicio y todos los clientes afectados han sido notificados". Además, se proporcionaron instrucciones a los usuarios para revisar sus sitios en busca de posible explotación y para llevar a cabo métodos de limpieza. Si un usuario no ha sido notificado, esto significa que la vulnerabilidad no le afecta.