Plateforme
dotnet
Composant
microsoft-power-apps
La vulnérabilité CVE-2025-47733 représente une faille de type SSRF (Server-Side Request Forgery) affectant Microsoft Power Apps. Cette faille permet à un attaquant non autorisé d'effectuer des requêtes vers des ressources internes, potentiellement exposant des informations sensibles sur le réseau. Elle touche les versions de Power Apps inférieures ou égales à la version non spécifiée. Une correction est disponible et son application est fortement recommandée.
Un attaquant exploitant cette vulnérabilité SSRF peut initier des requêtes à partir de Microsoft Power Apps vers des serveurs internes ou externes, contournant ainsi les contrôles d'accès habituels. Cela peut permettre la divulgation d'informations confidentielles, telles que des données de configuration, des clés API, ou même l'accès à des bases de données internes. L'attaquant pourrait également utiliser cette faille pour lancer des attaques contre d'autres systèmes internes, en agissant comme un proxy. Le potentiel de dommages est élevé, car Power Apps est souvent utilisé pour automatiser des processus métier critiques et accéder à des données sensibles.
La vulnérabilité CVE-2025-47733 a été rendue publique le 8 mai 2025. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature de la vulnérabilité SSRF, qui est souvent exploitée. Des preuves de concept (PoC) publiques pourraient émerger rapidement, augmentant le risque d'exploitation.
Organizations heavily reliant on Microsoft Power Apps for business processes, particularly those integrating with internal systems or APIs, are at significant risk. Environments with weak network segmentation or inadequate input validation are especially vulnerable. Any deployment of Power Apps prior to the fixed version is potentially exposed.
• windows / dotnet: Monitor Power Apps logs for outbound requests to unexpected internal or external IP addresses or domains. Use PowerShell to check for unusual network connections initiated by Power Apps processes.
Get-Process -Name "PowerAppsService" | ForEach-Object { Get-NetTCPConnection -OwningProcess $_.Id }• generic web: Monitor web server access logs for requests originating from Power Apps that target internal resources. Examine response headers for signs of SSRF exploitation (e.g., unusual server names or IP addresses). • database (mysql, redis, mongodb, postgresql): While less direct, monitor database logs for unusual connection attempts or queries originating from Power Apps, which could indicate an attacker attempting to leverage SSRF to access database information.
disclosure
Statut de l'Exploit
EPSS
2.92% (percentile 86%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à appliquer la correction fournie par Microsoft dès qu'elle est disponible. En attendant, il est possible de limiter l'impact de la vulnérabilité en mettant en place des règles de pare-feu pour restreindre les requêtes sortantes de Power Apps. L'utilisation d'un proxy inverse peut également aider à filtrer les requêtes malveillantes. Il est également recommandé de revoir les configurations de Power Apps pour s'assurer que les autorisations d'accès aux ressources sont correctement définies et limitées au strict nécessaire. Après l'application de la correction, vérifiez que les requêtes sortantes sont correctement restreintes et que l'accès aux ressources sensibles est limité.
Microsoft a publié une mise à jour de sécurité pour corriger cette vulnérabilité. Il est recommandé d'appliquer la dernière mise à jour disponible pour Microsoft Power Pages dès que possible. Consultez le bulletin de sécurité de Microsoft pour plus d'informations et des instructions spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-47733 is a critical SSRF vulnerability in Microsoft Power Apps that allows unauthorized attackers to disclose information over a network by manipulating application requests.
You are affected if you are using Microsoft Power Apps versions prior to the fixed version. Check your version and upgrade immediately.
Upgrade Microsoft Power Apps to the fixed version. Implement network segmentation and strict input validation as interim measures.
While no public exploits are currently available, the vulnerability's nature suggests a high likelihood of exploitation. Monitor your environment closely.
Refer to the official Microsoft Security Update Guide for CVE-2025-47733 for detailed information and the fixed version.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier packages.lock.json et nous te dirons instantanément si tu es affecté.