Pôvodný dátum publikovania: 9. decembra 2025
IDENTIFIKÁCIA DATABÁZY KB: 5074596
Tento článok popisuje zmenu, ktorá sa týka predovšetkým podnikových prostredí alebo prostredí spravovaných IT, v ktorých sa skripty prostredia PowerShell používajú na automatizáciu a načítanie webového obsahu. Ľudia používanie zariadení v osobných alebo domácich nastaveniach vo všeobecnosti netreba vykonávať žiadne kroky, pretože tieto scenáre sú nezvyčajné mimo prostredí spravovaných IT.
|
Zmeniť dátum |
Zmeniť popis |
|
20. decembra 2025 |
|
Zhrnutie
Windows PowerShell 5.1 teraz zobrazuje výzvu na potvrdenie zabezpečenia pri použití príkazu Vyvolať webRequest na načítanie webových stránok bez špeciálnych parametrov.
Upozornenie zabezpečenia: Riziko spustenia skriptu Invoke-WebRequest analyzuje obsah webovej stránky. Kód skriptu na webovej stránke sa môže spustiť pri analýze stránky.
ODPORÚČANÁ AKCIA: Ak sa chcete vyhnúť spusteniu kódu skriptu, použite prepínač -UseBasicParsing.
Chcete pokračovať?
Táto výzva varuje, že skripty na stránke sa môžu spúšťať počas analýzy a odporúča používať parameter -UseBasicParsing, aby sa zabránilo spusteniu skriptu. Používatelia sa musia rozhodnúť pokračovať alebo zrušiť operáciu. Táto zmena pomáha chrániť sa pred škodlivým webovým obsahom tým, že pred potenciálne riskantnými akciami vyžaduje súhlas používateľa.
Príkaz Vyvolať webRequest prostredia PowerShell vykoná požiadavku HTTP alebo HTTPS na webový server a vráti výsledky. Tento článok dokumentuje vystužujúcu zmenu, pri ktorej Windows PowerShell 5.1 zámerne zobrazí výzvu na potvrdenie zabezpečenia pri použití príkazu Vyvolať webRequest na načítanie webových stránok bez špeciálnych parametrov. K tomuto správaniu dochádza po tom, ako podporovaní klienti a servery systému Windows nainštalovali Windows Aktualizácie vydaný 9. decembra 2025 a po tomto dátume. Ďalšie informácie nájdete v téme CVE-2025-54100.
Čo sa zmenilo?
-
Predchádzajúce správanie
-
Kompletná analýza objektového modelu dokumentu (DOM) pomocou súčastí programu Internet Explorer (HTMLDocument Interface (mshtml)), ktoré môžu spúšťať skripty zo stiahnutého obsahu.
-
-
Nové správanie
-
Výzva na potvrdenie zabezpečenia: Po inštalácii aktualizácií Windowsu vydaných 9. decembra 2025 alebo po ich skončení spustením príkazu Invoke-WebRequest (známeho aj ako curl) v prostredí PowerShell 5.1 sa spustí výzva zabezpečenia (ak sa nepoužije žiadny špeciálny parameter). Výzva sa zobrazí v konzole prostredia PowerShell s upozornením na riziko spustenia skriptu. To znamená, že PowerShell vás pozaznauje, aby vás upozornilo, že bez bezpečnostných opatrení sa obsah skriptu webovej stránky môže spustiť vo vašom systéme pri jeho spracovaní. Ak predvolene stlačíte kláves Enter (alebo vyberiete možnosť Nie), operácia sa z dôvodu bezpečnosti zruší. PowerShell zobrazí hlásenie, že bolo zrušené z dôvodu obáv o zabezpečenie, a navrhne opätovné spustenie príkazu pomocou parametra -UseBasicParsing na bezpečné spracovanie. Ak vyberiete možnosť Áno, PowerShell bude pokračovať v analýze stránky pomocou staršej metódy (úplná analýza HTML), čo znamená, že načíta obsah a všetky vložené skripty tak, ako boli použité. Výber možnosti Áno v podstate znamená, že prijímate riziko a povolíte spustenie príkazu tak, ako bol predtým, pričom výberom možnosti Nie (predvolené) sa akcia zastaví, aby vás ochránila.
-
Interaktívne verzus skriptované použitie: Zavedenie tejto výzvy ovplyvňuje predovšetkým interaktívne používanie. V interaktívnych reláciách sa zobrazí upozornenie a budete musieť odpovedať. V prípade automatizovaných skriptov (neinteraktívne scenáre, ako sú napríklad plánované úlohy alebo kanály CI), môže táto výzva spôsobiť, že skript sa počas čakania na vstup prestane reagovať. Ak sa tomu chcete vyhnúť, odporúčame aktualizovať takéto skripty tak, aby explicitne používali bezpečné parametre (pozri nižšie), aby sa zabezpečilo, že nevyžadujú manuálne potvrdenie.
-
Vykonanie akcie
Väčšina skriptov a príkazov prostredia PowerShell, ktoré používajú príkaz Invoke-WebRequest, bude naďalej fungovať s malou alebo žiadnou úpravou. Skripty, ktoré iba sťahujú obsah alebo pracujú s telom odpovede, pretože text alebo údaje nie sú ovplyvnené a nevyžadujú žiadne zmeny.
Ak máte skripty, ktoré sú ovplyvnené touto zmenou, použite jeden z nasledujúcich prístupov.
Pri načítavaní obsahu sa nevyžaduje žiadna akcia, ak je vaším typickým použitím príkazu Invoke-WebRequest načítanie obsahu (napríklad sťahovanie súborov alebo čítanie statického textu) a nespoliehajte sa na pokročilú interakciu lokality alebo analýzu HTML DOM. Nové predvolené správanie je bezpečnejšie – skripty vložené do webového obsahu sa nespustí bez vášho povolenia – a toto je odporúčaná konfigurácia pre väčšinu scenárov.
Ak chcete interaktívne využitie, jednoducho odpovedzte nie novému bezpečnostnému riadku (alebo stlačte kláves Enter na prijatie predvoleného nastavenia) a znova spustite príkaz s parametrom -UseBasicParsing a bezpečne načítajte obsah. Týmto sa vyhnete spusteniu kódu skriptu na načítanej stránke. Ak často načítavate webový obsah interaktívne, zvážte použitie parametra -UseBasicParsing v predvolenom nastavení vo vašich príkazoch a úplne preskočte výzvu a zabezpečte maximálnu bezpečnosť.
V prípade automatizovaných skriptov alebo plánovaných úloh ich aktualizujte tak, aby zahŕňali parameter -UseBasicParsing vo volaniach Invoke-WebRequest. Týmto sa vopred vyberie bezpečné správanie tak, aby sa výzva nezdalo a skript bude naďalej fungovať bez prerušenia. Tým zabezpečíte bezproblémové spustenie automatizácie po aktualizácii a zároveň budete využívať vylepšené zabezpečenie.
-
Skripty spustené s možnosťou -NoProfile: Ak skript obsahuje veľa výskytov volaní Invoke-WebRequest, deklarujte $PSDefaultParameterValues['Invoke-WebRequest:UseBasicParsing'] = $true v hornej časti skriptu.
-
Pri použití funkcie Invoke-WebRequest s parametrom -UseBasicParsing nie je možné analýzu úplného objektového modelu dokumentu (DOM) pomocou súčastí programu Internet Explorer (HTMLDocument Interface (mshtml)).
V prípade skriptov alebo automatizácie, ktoré sa zaoberajú nedôveryhodným alebo verejným webovým obsahom a vyžadujú spracovanie štruktúr alebo formulárov HTML, zvážte ich opätovné vytvorenie alebo aktualizáciu z dôvodu dlhodobej bezpečnosti. Namiesto spoliehania sa na prostredie PowerShell na analýzu a spúšťanie potenciálne nebezpečných skriptov webových stránok môžete:
-
Používajte alternatívne metódy analýzy alebo knižnice (napríklad s obsahom webovej stránky zaobchádzajte ako s obyčajným textom alebo XML pomocou knižníc regex alebo XML/HTML, ktoré nespúšťajú skripty).
-
Modernizujte svoj prístup k webovým interakciám, napríklad pomocou novšieho prostredia PowerShell Core (verzia 7.x alebo novšia), ktoré nezávisí od nástroja Internet Explorera a vyhýba sa spúšťaniu skriptov, alebo pomocou špecializovaných nástrojov na zoškrabanie webu, ktoré spracovávajú obsah bezpečnejšie. Obmedzte závislosť od funkcií špecifických pre Internet Explorer, pretože Internet Explorer je zastaraný. Naplánujte prepísanie častí skriptov, ktoré závisia od týchto funkcií, aby mohli pracovať v prostredí, v ktorom sa s webovým obsahom zaobchádza bezpečne.
-
Invoke-WebRequest v prostredí PowerShell Core (verzia 7.x alebo novšia) nepodporuje analýzu dom pomocou súčastí programu Internet Explorer. Jeho predvolená analýza bezpečne načíta obsah bez vykonania skriptu.
-
-
Cieľom opätovného vytvorenia je dosiahnuť vašu potrebnú funkčnosť bez toho, aby ste sa vystavili bezpečnostným rizikám, čím sa zabezpečí bezpečnejšie predvolené nastavenie zavedené touto zmenou.
Ak máte konkrétnu potrebu použiť úplné možnosti analýzy HTML príkazu Invoke-WebRequest (napríklad interakciu s poľami formulára alebo zoškrabanie štruktúrovaných údajov) a dôverujete zdroju webového obsahu, stále môžete pokračovať v staršej analýze správania od prípadu k prípadu. V interaktívnych reláciách to jednoducho znamená, že výberom možnosti Áno v potvrdzovacom výzve povolíte pokračovanie operácie. Vždy, keď tak urobíte, dostanete pripomenutie bezpečnostného rizika. Postup bez parametra -UseBasicParsing by mal byť obmedzený na scenáre, v ktorých úplne dôverujete webovému obsahu (napríklad interné webové aplikácie pod vašou kontrolou alebo známe bezpečné webové lokality).
Dôležité: Tento prístup sa neodporúča pre skripty spustené proti nedôveryhodným alebo verejným webovým obsahom, pretože opätovne predstavuje riziko spustenia tichého skriptu, ktoré je táto aktualizácia určená na zmiernenie. V prípade neinteraktívnej automatizácie neexistuje žiadny vstavaný mechanizmus, ktorý by automaticky súhlasil s výzvou, takže sa neodporúča spoliehať sa na úplnú analýzu skriptov (okrem toho, že je riskantné). Túto možnosť používajte s mierou a iba ako dočasnú mierku.
Najčastejšie otázky
Skripty, ktoré sťahujú súbory alebo načítajú webový obsah ako text, budú vo väčšine prípadov fungovať aj naďalej. Ak sa chcete vyhnúť výzve, pridajte parameter -UseBasicParsing.
Skripty používajúce pokročilú analýzu HTML (napríklad formuláre alebo DOM) môžu namiesto štruktúrovaných objektov spôsobiť zablokovanie alebo výstup nespracovaných údajov. Ak chcete s obsahom pracovať inak, musíte prepnúť na základnú analýzu alebo upraviť skript.
Vždy použite parameter -UseBasicParsing s príkazom Invoke-WebRequest v skriptoch prostredia PowerShell, aby ste zabezpečili bezpečné neinteraktívne spustenie.
Áno. Skripty v závislosti od staršej analýzy je potrebné aktualizovať, aby sa mohli prihlásiť alebo opätovne použiť.
Zmena v prostredí PowerShell sa vzťahuje na štandardné aktualizácie aj aktualizácie rýchlej aktualizácie, čo má za následok rovnakú zmenu správania.
Áno. PowerShell 7 už predvolene používa zabezpečenú analýzu.
Obráťte sa na vlastníkov modulov a požiadajte o plány podpory. Pri migrácii dočasne použite explicitný súhlas s dôveryhodným obsahom.
Na prípravu a overenie tejto zmeny odporúčame:
-
Identifikujte skripty pomocou funkcií DOM.
-
Automatizácia testovania s novým predvoleným nastavením.
-
Obmedzte staršie prihlásenie na dôveryhodné zdroje.
-
Naplánujte opätovné vytvorenie nedôveryhľadného obsahu.
