Izvorni datum objave: 9. prosinca 2025.
KB ID: 5074596
U ovom se članku opisuje promjena koja prvenstveno utječe na korporacijska ili IT okruženja u kojima se koriste skripte komponente PowerShell za automatizaciju i dohvaćanje web-sadržaja. Osobe upotrebu uređaja u osobnim ili kućnim postavkama obično ne moraju poduzeti nikakve radnje jer su ti scenariji neuobičajeni izvan okruženja kojima upravlja IT.
|
Promjena datuma |
Promjena opisa |
|
20. prosinca 2025. |
|
Sažetak
Windows PowerShell 5.1 sada prikazuje upit za potvrdu sigurnosti prilikom korištenja naredbe Invoke-WebRequest za dohvaćanje web-stranica bez posebnih parametara.
Sigurnosno upozorenje: Rizik izvršenja Invoke-WebRequest raščlanjivanja sadržaja web-stranice. Kod skripte na web-stranici može se pokrenuti prilikom raščlanjivanja stranice.
PREPORUČENA AKCIJA: upotrijebite parametar -UseBasicParsing da biste izbjegli izvršavanje koda skripte.
Želite li nastaviti?
Ovaj upit upozorava da se skripte na stranici mogu izvoditi tijekom raščlanjivanja i savjetuje korištenje parametra -UseBasicParsing da biste izbjegli izvršavanje skripti. Korisnici moraju odabrati nastavak ili otkazivanje operacije. Ta promjena pridonosi zaštiti od zlonamjernog web-sadržaja zahtijevanjem pristanka korisnika prije potencijalno rizičnih akcija.
Naredba Invoke-WebRequest komponente PowerShell daje HTTP ili HTTPS zahtjev web-poslužitelju i vraća rezultate. U ovom se članku opisuje očvorna promjena u kojoj Windows PowerShell 5.1 namjerno prikazuje upit za potvrdu sigurnosti prilikom korištenja naredbe Invoke-WebRequest za dohvaćanje web-stranica bez posebnih parametara. To se događa nakon što su podržani klijenti i poslužitelji sustava Windows instalirali Windows Ažuriranja objavljen 9. prosinca 2025. i nakon toga. Dodatne informacije potražite u članku CVE-2025-54100.
Što se promijenilo?
-
Prethodno ponašanje
-
Raščlanjivanje cijelog objektnog modela dokumenta (DOM) pomoću komponenti preglednika Internet Explorer (HTMLDocument Interface (mshtml)), koje može izvršiti skripte iz preuzetog sadržaja.
-
-
Novo ponašanje
-
Upit za potvrdu sigurnosti: Nakon instalacije ažuriranja sustava Windows objavljenih 9. prosinca 2025. ili kasnije, pokretanjem naredbe Invoke-WebRequest (koja se naziva i kovrča) u komponenti PowerShell 5.1 pokrenut će se sigurnosni upit (kada se ne koristi poseban parametar). Upit će se pojaviti na konzoli komponente PowerShell s upozorenjem o riziku izvršenja skripte. To znači da PowerShell pauzi radi na tome da vas upozori da se, bez mjera opreza, sadržaj skripte web-stranice može izvršiti na vašem sustavu prilikom obrade. Ako pritisnete Enter (ili odaberete Ne), operacija će se prema zadanim postavkama otkazati radi sigurnosti. PowerShell će prikazati poruku da je otkazana zbog sigurnosnih problema i predlaže ponovno pokretanje naredbe pomoću parametra -UseBasicParsing za sigurnu obradu. Ako odaberete Da, PowerShell će nastaviti raščlaniti stranicu pomoću starije metode (potpuno HTML raščlanjivanje), što znači da će učitati sadržaj i sve ugrađene skripte na način na koji se koristi. U biti, ako odaberete Da, prihvaćate rizik i dopuštate naredbu da se pokreće kao prije, a odabirom mogućnosti Ne (zadano) zaustavljate akciju da biste se zaštitili.
-
Interaktivno ili skriptno korištenje: Uvođenje ovog upita prvenstveno utječe na interaktivno korištenje. U interaktivnim sesijama vidjet ćete upozorenje i morati odgovoriti. Za automatizirane skripte (scenarije koji nisu interaktivni, kao što su zakazani zadaci ili CI kanali), ovaj upit može uzrokovati zastoj skripte dok čekate unos. Da biste to izbjegli, preporučujemo ažuriranje takvih skripti tako da izričito koriste sigurne parametre (pogledajte u nastavku), osiguravajući da ne zahtijevaju ručnu potvrdu.
-
Akcija
Većina skripti i naredbi komponente PowerShell koje koriste naredbu Invoke-WebRequest nastavit će funkcionirati s malo ili bez izmjena. To, primjerice, ne utječe na skripte koje preuzimaju samo sadržaj ili funkcioniraju s tijelom odgovora kao tekstom ili podacima i nisu potrebne promjene.
Ako imate skripte na koje utječe ta promjena, koristite jedan od sljedećih pristupa.
Za dohvaćanje sadržaja nije potrebna nikakva akcija ako je obično korištenje naredbe Invoke-WebRequest dohvaćanje sadržaja (kao što je preuzimanje datoteka ili čitanje statičnog teksta), a ne koristite naprednu interakciju s web-mjestom ili HTML DOM raščlanjivanje. Novo zadano ponašanje sigurnije je – skripte ugrađene u web-sadržaj neće se izvoditi bez vaše dozvole – a to je preporučena konfiguracija za većinu scenarija.
Za interaktivno korištenje jednostavno odgovorite Ne na novi sigurnosni upit (ili pritisnite Enter da biste prihvatili zadani) i ponovno pokrenite naredbu pomoću parametra -UseBasicParsing da biste sigurno dohvatili sadržaj. Time ćete izbjeći izvršavanje koda skripte na dohoaćenoj stranici. Ako često interaktivno dohvaćate web-sadržaj, razmislite o korištenju parametra -UseBasicParsing po zadanom u naredbama da biste potpuno preskočili upit i osigurali maksimalnu sigurnost.
Za automatizirane skripte ili zakazane zadatke ažurirajte ih tako da u pozivima invoke-WebRequest uvrstite parametar -UseBasicParsing. Time se unaprijed odabire sigurno ponašanje da se upit ne bi pojavio, a skripta se nastavlja izvoditi bez prekida. Na taj način jamčite besprijekorno izvođenje automatizacije nakon ažuriranja uz istovremeno iskorištavanje poboljšane sigurnosti.
-
Za skripte koje se pokreću s mogućnošću -NoProfile: Ako skripta ima mnogo pojavljivanja poziva Invoke-WebRequest, deklariranje $PSDefaultParameterValues['Invoke-WebRequest:UseBasicParsing'] = $true pri vrhu skripte.
-
Kada se invoke-WebRequest koristi s parametrom -UseBasicParsing , raščlanjivanje objektnog modela cijelog dokumenta (DOM) pomoću komponenti preglednika Internet Explorer (HTMLDocument Interface (mshtml)) nije moguće.
Za skripte ili automatizaciju koji se bave nepouzdanim ili javnim web-sadržajem i zahtijevaju obradu HTML struktura ili obrazaca, razmislite o refaktoranju ili ažuriranju radi dugoročne sigurnosti. Umjesto da se na powerShell raščlanjuju i pokreću potencijalno opasne skripte web-stranica, možete učiniti sljedeće:
-
Koristite alternativne metode ili biblioteke za raščlanjivanje (na primjer, sadržaj web-stranice tretirajte kao običan tekst ili XML pomoću biblioteka regex ili XML/HTML raščlanjivanja koje ne izvršavaju skripte).
-
Modernizirajte pristup interakcijama s webom, možda pomoću novije powershell jezgre (verzije 7.x ili novije) koja ne ovisi o modulu preglednika Internet Explorer i izbjegava pokretanje skripti ili pomoću specijaliziranih alata za struganje weba koji sigurnije rukuju sadržajem. Ograniči oslanjanje na značajke specifične za Internet Explorer jer je Internet Explorer zastario. Planirajte prebrisati dijelove skripti koji ovise o tim značajkama da bi mogli raditi u okruženju u kojem se sigurno rukuje web-sadržajem.
-
Invoke-WebRequest u komponenti PowerShell Core (verzija 7.x ili novija) ne podržava DOM raščlanjivanje pomoću komponenti preglednika Internet Explorer. Njegovo zadano raščlanjivanje sigurno će dohvatiti sadržaj bez izvršavanja skripte.
-
-
Cilj je refaktora postići potrebne funkcije bez izlaganja sigurnosnim rizicima, čime se prihvaćaju sigurnije zadane vrijednosti uvedene tom promjenom.
Ako morate koristiti pune mogućnosti HTML raščlanjivanja naredbe Invoke-WebRequest (kao što je interakcija s poljima obrasca ili struganje strukturiranih podataka) i izvor web-sadržaja smatrate pouzdanim, i dalje možete nastaviti sa naslijeđenim raščlanjivanjem na temelju slučaja po slučaja. U interaktivnim sesijama to jednostavno znači da u potvrdnom upitu odaberete Da da biste dopustili nastavak operacije. Svaki put kada to učinite, primit ćete podsjetnik o sigurnosnom riziku. Nastavak bez parametra -UseBasicParsing trebao bi biti ograničen na scenarije u kojima web-sadržaj u potpunosti smatrate pouzdanim (na primjer, interne web-aplikacije pod vašom kontrolom ili poznatim sigurnim web-mjestima).
Važno: Taj se pristup ne preporučuje za skripte koje se izvode protiv nepouzdanog ili javnog web-sadržaja jer ponovno uvode rizik od tihog izvršavanja skripti da je ovo ažuriranje namijenjeno umanjiti. Osim toga, za neaktivan automatizaciju ne postoji ugrađeni mehanizam za automatsko pristanak na upit, pa se ne preporučuje korištenje potpunog raščlanjivanja u skriptama (osim što je riskantno). Tu mogućnost koristite djelomično i samo kao privremenu mjeru.
Najčešća pitanja
U većini slučajeva skripte koje preuzimaju datoteke ili dohvaćaju web-sadržaj kao tekst i dalje će funkcionirati. Da biste izbjegli upit, dodajte parametar -UseBasicParsing.
Skripte koje koriste napredno HTML raščlanjivanje (kao što su obrasci ili DOM) mogu zamrzavati ili poslati neobrađene podatke umjesto strukturiranih objekata; morat ćete se prebaciti na osnovno raščlanjivanje ili izmijeniti skriptu da biste drugačije upravljali sadržajem.
Uvijek koristite parametar -UseBasicParsing s naredbom Invoke-WebRequest u skriptama komponente PowerShell da biste osigurali sigurno i neaktivan izvršavanje.
Da. Skripte ovisno o naslijeđenoj raščlanjivaču moraju se ažurirati da bi se uključile ili refaktor.
Promjena u ljusci PowerShell primjenjiva je i na standardna ažuriranja i ažuriranja prečaca, što rezultira istom promjenom ponašanja.
Da. PowerShell 7 po zadanom već koristi sigurno raščlanjivanje.
Obratite se vlasnicima modula za planove podrške. Privremeno se uključite za pouzdani sadržaj tijekom migracije.
Da biste se pripremili za promjenu i potvrdili njezinu valjanost, preporučujemo sljedeće:
-
Prepoznajte skripte pomoću ZNAČAJKI DOM-a.
-
Testna automatizacija s novom zadanom postavkom.
-
Ograničite naslijeđeni pristanak na pouzdane izvore.
-
Planiranje refactoring za nepouzdani sadržaj.
