Microsoftはこのほど、「Microsoft mitigates Power Platform Custom Code information disclosure vulnerability|MSRC Blog|Microsoft Security Response Center」において、Power Platformに影響を及ぼす重大な脆弱性に対処したことを発表した。
この脆弱性はPower Platformのカスタムコネクタに使用されるCustom Code関数への不正アクセスにつながる深刻な欠陥とされ、この脆弱性が悪用された場合、カスタムコード関数に埋め込まれた機密情報が漏えいする危険性がある。
セキュリティベンダーであるTenableにより発見されたこの脆弱性は、2023年3月30日にMicrosoftに連携され、2023年6月7日に初期修正プログラムが提供されていた。しかしながら、Tenableの調査により脆弱性が完全に解決されていないことが明らかとなり、ごく一部のCustom Code関数が依然として影響を受けていることが判明していた。
MicrosoftはCustom Code関数を使用している可能性のあるユーザーに対して対策を講じ、2023年8月2日に作業を完了したことを報告している。また、この脆弱性の悪用が確認されたのはセキュリティベンダーからのみとされ、脆弱性が積極的に悪用された形跡は見つかっていないことが伝えられている。