De la primele shell-uri care executau comenzi în linie de comandă până la PowerShell, administratorii au învățat să fie precauți cu ce rulează automat; acum Microsoft introduce o confirmare de securitate pentru a împiedica executarea neintenționată a codului descărcat de pe web. Modificarea se aplică Windows PowerShell 5.1, versiunea instalată implicit pe Windows 10 și Windows 11, și a fost introdusă ca răspuns la o vulnerabilitate de executare de cod la distanță identificată ca CVE-2025-54100, care afectează în special mediile enterprise și scripturile folosite pentru automatizare.
Concret, când un script folosește Invoke-WebRequest pentru a prelua o pagină web, PowerShell va afișa o avertizare care menționează că, în timpul parsării paginii, scripturi din acea pagină s-ar putea executa. Implicit, dacă apeși Enter sau selectezi No, operațiunea se oprește; PowerShell recomandă să rulezi din nou comanda cu parametrul -UseBasicParsing pentru o procesare mai sigură. Dacă alegi Yes, PowerShell revine la metoda clasică de parsare HTML, permițând încărcarea conținutului și a scripturilor în același mod ca înainte. Pe scurt, Yes echivalează cu acceptarea riscului, No oprește execuția.
Microsoft afirmă că această schimbare aduce în PowerShell 5.1 același mecanism de parsare mai sigur existent deja în PowerShell 7. Actualizarea face parte din pachetele KB: KB5074204 pentru Windows 11 (versiunile 24H2 și 25H2), KB5074204 pentru Windows Server 2025 și KB5074353 pentru Windows Server 2022. Pentru detalii suplimentare este indicat articolul de suport KB5074596, care explică mecanismul de prevenire a execuției din conținutul web.
Administratorii cu scripturi automate trebuie să ia în considerare faptul că, după instalarea acestor actualizări, scripturile care se așteaptă să ruleze automat pot rămâne blocate, așteptând confirmare manuală. Recomandarea este să modifice scripturile pentru a include explicit -UseBasicParsing acolo unde este necesar, astfel încât operațiunile de descărcare să continue fără intervenție. Un detaliu util: comanda curl este mapată în PowerShell la Invoke-WebRequest, deci apelurile curl pot declanșa aceleași avertismente.
Totuși, majoritatea scripturilor vor continua să funcționeze cu puține sau fără modificări. Exemplele oferite de Microsoft sunt scripturi care doar descarcă conținut sau lucrează cu body-ul răspunsului ca text sau date; aceste scenarii nu sunt afectate și nu necesită schimbări.
Actualizarea KB5074204 activează solicitarea de confirmare în Windows PowerShell 5.1 când se folosește Invoke-WebRequest. Administratorii pot opta pentru parsare completă sau pot folosi -UseBasicParsing pentru a evita executarea scripturilor în pagini HTML, iar pachetele relevante sunt KB5074204 și KB5074353, cu informații adiționale în KB5074596. Cum plănuiești să ajustezi scripturile din mediul tău pentru a rămâne automatizate și în siguranță?
Fii primul care comentează