Windows PowerShell Kini Beri Peringatan Saat Menjalankan Invoke-WebRequest
Microsoft menambahkan fitur baru pada Windows PowerShell 5.1 yang kini menampilkan peringatan keamanan ketika menjalankan skrip dengan perintah Invoke-WebRequest. Langkah ini bertujuan mencegah eksekusi kode berisiko dari konten web yang diunduh.
Latar Belakang
Pembaruan ini merupakan mitigasi terhadap kerentanan eksekusi kode jarak jauh dengan tingkat keparahan tinggi (CVE-2025-54100). Kerentanan tersebut terutama berdampak pada lingkungan perusahaan atau sistem yang dikelola IT, di mana PowerShell sering digunakan untuk otomatisasi.
Versi PowerShell 5.1 yang terpasang secara default di Windows 10 dan Windows 11 kini mengadopsi proses parsing web yang lebih aman, serupa dengan yang tersedia di PowerShell 7.
Mekanisme Peringatan
Ketika menjalankan Invoke-WebRequest, PowerShell akan menampilkan prompt konfirmasi:
- Jika memilih No atau menekan Enter, operasi dibatalkan dan PowerShell menyarankan penggunaan parameter
-UseBasicParsinguntuk pemrosesan aman. - Jika memilih Yes, PowerShell tetap melakukan parsing HTML penuh, termasuk memuat konten dan skrip tersemat, dengan risiko eksekusi kode.
Contoh peringatan yang ditampilkan setelah instalasi pembaruan KB5074204:
Code
Security Warning: Script Execution Risk
Invoke-WebRequest parses the content of the web page. Script code in the web page might be run when the page is parsed.
RECOMMENDED ACTION:
Use the -UseBasicParsing switch to avoid script code execution.
Do you want to continue?
Implikasi bagi Admin IT
Administrator disarankan memperbarui skrip otomatisasi mereka agar menggunakan parameter -UseBasicParsing secara eksplisit, sehingga tidak terhenti oleh prompt konfirmasi.
Selain itu, penting diketahui bahwa perintah curl di PowerShell merupakan alias dari Invoke-WebRequest, sehingga peringatan baru ini juga akan muncul saat menjalankan skrip dengan perintah tersebut.
Dampak pada Pengguna
Microsoft menegaskan sebagian besar skrip PowerShell yang menggunakan Invoke-WebRequest tetap dapat berjalan dengan sedikit atau tanpa modifikasi. Skrip yang hanya mengunduh konten atau bekerja dengan respons halaman tidak akan terpengaruh signifikan.
