PowerShell будет предупреждать об опасности при запуске скриптов с командлетом Invoke-WebRequest

Microsoft заявляет, что Windows PowerShell теперь выдает предупреждения при запуске скриптов, использующих командлет Invoke-WebRequest для загрузки веб-контента. Это позволит предотвратить выполнение потенциально опасного кода.

Как поясняет Microsoft, предупреждения устранят серьёзную уязвимость удалённого выполнения кода в PowerShell (CVE-2025-54100), которая в основном затрагивает корпоративные или управляемые IT-подразделениями среды, использующие скрипты утилиты для автоматизации.

В Windows PowerShell 5.1, которая установлена по умолчанию в системах Windows 10 и Windows 11, добавлено предупреждение, призванное обеспечить тот же безопасный процесс анализа веб-страниц, что и в PowerShell 7. По умолчанию, если нажать Enter или выбрать «Нет», то операция будет отменена, и PowerShell предложит повторно запустить команду с параметром "-UseBasicParsing" для более безопасной обработки.

Если же выбрать «Да», PowerShell будет анализировать страницу с использованием старого метода (полный анализ HTML), позволяя содержимому и встроенным скриптам загружаться как раньше. 

После установки обновления KB5074204 IT-администраторы увидят следующее предупреждение о рисках выполнения кода скрипта: 

Security Warning: Script Execution Risk Invoke-WebRequest parses the content of the web page. Script code in the web page might be run when the page is parsed. RECOMMENDED ACTION: Use the -UseBasicParsing switch to avoid script code execution. Do you want to continue? ``` For additional details, see [KB5074596: PowerShell 5.1: Preventing script execution from web content]( https://support.microsoft.com/help/5072034 ).

Чтобы избежать зависания скриптов автоматизации до ручного подтверждения, администраторам рекомендуется обновить их, используя