Plataforma
dotnet
Componente
microsoft-power-apps
A vulnerabilidade CVE-2025-47733 é uma falha de SSRF (Server-Side Request Forgery) descoberta no Microsoft Power Apps. Essa falha permite que um atacante não autorizado realize solicitações para recursos internos, potencialmente expondo informações confidenciais em uma rede. A vulnerabilidade afeta versões do Microsoft Power Apps anteriores ou iguais a -. A Microsoft recomenda a aplicação de medidas de mitigação e a atualização para uma versão corrigida.
Um atacante explorando com sucesso essa vulnerabilidade de SSRF pode realizar solicitações para recursos internos que normalmente não seriam acessíveis externamente. Isso pode levar à divulgação de informações sensíveis, como dados de configuração, chaves de API ou até mesmo acesso a outros sistemas internos. O impacto potencial é significativo, pois um atacante pode usar essa vulnerabilidade como um ponto de apoio para realizar ataques mais avançados, como coleta de informações para ataques de força bruta ou acesso a dados confidenciais. A exploração bem-sucedida pode resultar em comprometimento da confidencialidade e integridade dos dados.
A vulnerabilidade CVE-2025-47733 foi publicada em 2025-05-08. Não há informações disponíveis sobre a inclusão em KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade SSRF e a possibilidade de uso para coleta de informações. É importante monitorar a situação e aplicar as medidas de mitigação recomendadas.
Organizations heavily reliant on Microsoft Power Apps for business processes, particularly those integrating with internal systems or APIs, are at significant risk. Environments with weak network segmentation or inadequate input validation are especially vulnerable. Any deployment of Power Apps prior to the fixed version is potentially exposed.
• windows / dotnet: Monitor Power Apps logs for outbound requests to unexpected internal or external IP addresses or domains. Use PowerShell to check for unusual network connections initiated by Power Apps processes.
Get-Process -Name "PowerAppsService" | ForEach-Object { Get-NetTCPConnection -OwningProcess $_.Id }• generic web: Monitor web server access logs for requests originating from Power Apps that target internal resources. Examine response headers for signs of SSRF exploitation (e.g., unusual server names or IP addresses). • database (mysql, redis, mongodb, postgresql): While less direct, monitor database logs for unusual connection attempts or queries originating from Power Apps, which could indicate an attacker attempting to leverage SSRF to access database information.
disclosure
Status do Exploit
EPSS
2.92% (percentil 86%)
CISA SSVC
Vetor CVSS
Enquanto a Microsoft trabalha no lançamento de uma atualização de segurança, algumas medidas de mitigação podem ser implementadas para reduzir o risco. Restrinja o acesso à rede do Power Apps, implementando regras de firewall que bloqueiem o acesso a recursos internos desnecessários. Utilize o princípio do menor privilégio, garantindo que os usuários tenham apenas as permissões necessárias para realizar suas tarefas. Monitore o tráfego de rede do Power Apps em busca de atividades suspeitas, como solicitações para endereços IP internos inesperados. Implementar controles de validação de entrada para evitar que os usuários forneçam URLs maliciosas. Após a disponibilização da atualização, aplique-a imediatamente e verifique se a vulnerabilidade foi corrigida.
Microsoft publicou uma atualização de segurança para corrigir esta vulnerabilidade. Recomenda-se aplicar a última atualização disponível para Microsoft Power Pages o mais rápido possível. Consulte o boletim de segurança da Microsoft para obter mais informações e instruções específicas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-47733 is a critical SSRF vulnerability in Microsoft Power Apps that allows unauthorized attackers to disclose information over a network by manipulating application requests.
You are affected if you are using Microsoft Power Apps versions prior to the fixed version. Check your version and upgrade immediately.
Upgrade Microsoft Power Apps to the fixed version. Implement network segmentation and strict input validation as interim measures.
While no public exploits are currently available, the vulnerability's nature suggests a high likelihood of exploitation. Monitor your environment closely.
Refer to the official Microsoft Security Update Guide for CVE-2025-47733 for detailed information and the fixed version.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo packages.lock.json e descubra na hora se você está afetado.