Plataforma
dotnet
Componente
microsoft-power-apps
La vulnerabilidad CVE-2025-47733 es una falla de SSRF (Server-Side Request Forgery) descubierta en Microsoft Power Apps. Esta falla permite a un atacante no autorizado realizar solicitudes a recursos internos, potencialmente exponiendo información sensible. Afecta a las versiones de Power Apps anteriores o iguales a la versión especificada en el aviso de seguridad. Se recomienda aplicar las mitigaciones disponibles o actualizar a una versión corregida para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad de SSRF en Microsoft Power Apps podría obtener acceso a recursos internos de la red que normalmente no serían accesibles desde el exterior. Esto podría incluir información confidencial almacenada en bases de datos, archivos de configuración o incluso otros sistemas internos. La capacidad de realizar solicitudes arbitrarias a través del servidor abre la puerta a la exposición de datos sensibles y la posible escalada de privilegios. El impacto se amplifica si Power Apps se utiliza para integrar con otros servicios internos, ya que un atacante podría utilizar la vulnerabilidad para acceder a esos servicios indirectamente. Aunque no se han reportado explotaciones públicas, la alta puntuación CVSS indica un riesgo significativo.
CVE-2025-47733 ha sido publicado el 2025-05-08. La vulnerabilidad ha sido clasificada como CRÍTICA con un CVSS de 9.1. Actualmente no se dispone de información sobre campañas de explotación activas o pruebas de concepto públicas. Se recomienda monitorear las fuentes de inteligencia de amenazas para obtener actualizaciones sobre la explotación de esta vulnerabilidad. La inclusión en el KEV catalog está pendiente.
Organizations heavily reliant on Microsoft Power Apps for business processes, particularly those integrating with internal systems or APIs, are at significant risk. Environments with weak network segmentation or inadequate input validation are especially vulnerable. Any deployment of Power Apps prior to the fixed version is potentially exposed.
• windows / dotnet: Monitor Power Apps logs for outbound requests to unexpected internal or external IP addresses or domains. Use PowerShell to check for unusual network connections initiated by Power Apps processes.
Get-Process -Name "PowerAppsService" | ForEach-Object { Get-NetTCPConnection -OwningProcess $_.Id }• generic web: Monitor web server access logs for requests originating from Power Apps that target internal resources. Examine response headers for signs of SSRF exploitation (e.g., unusual server names or IP addresses). • database (mysql, redis, mongodb, postgresql): While less direct, monitor database logs for unusual connection attempts or queries originating from Power Apps, which could indicate an attacker attempting to leverage SSRF to access database information.
disclosure
Estado del Exploit
EPSS
2.92% (86% percentil)
CISA SSVC
Vector CVSS
Para mitigar el riesgo asociado con CVE-2025-47733, se recomienda implementar las siguientes medidas. En primer lugar, actualice Microsoft Power Apps a la última versión disponible que incluya la corrección de seguridad. Si la actualización no es inmediatamente posible, considere implementar reglas de firewall para restringir el acceso a recursos internos desde Power Apps. Además, revise y refuerce las configuraciones de red para limitar el alcance de las solicitudes que Power Apps puede realizar. Implemente controles de acceso estrictos para limitar quién puede utilizar Power Apps y qué recursos pueden acceder. Monitoree los registros de Power Apps en busca de actividad sospechosa, como solicitudes a direcciones IP internas inesperadas. Verifique después de la actualización que Power Apps no pueda acceder a recursos internos no autorizados.
Microsoft ha publicado una actualización de seguridad para solucionar esta vulnerabilidad. Se recomienda aplicar la última actualización disponible para Microsoft Power Pages lo antes posible. Consulte el boletín de seguridad de Microsoft para obtener más información e instrucciones específicas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-47733 is a critical SSRF vulnerability in Microsoft Power Apps that allows unauthorized attackers to disclose information over a network by manipulating application requests.
You are affected if you are using Microsoft Power Apps versions prior to the fixed version. Check your version and upgrade immediately.
Upgrade Microsoft Power Apps to the fixed version. Implement network segmentation and strict input validation as interim measures.
While no public exploits are currently available, the vulnerability's nature suggests a high likelihood of exploitation. Monitor your environment closely.
Refer to the official Microsoft Security Update Guide for CVE-2025-47733 for detailed information and the fixed version.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo packages.lock.json y te decimos al instante si estás afectado.