Une mise à jour cumulative de décembre pour Windows 10 et Windows 11 inclut un correctif inattendu pour PowerShell 5.1 , introduisant un contrôle qui peut modifier le comportement de nombreux scripts. Cette modification vise à corriger une vulnérabilité d'exécution de code à distance , référencée CVE-2025-54100 . Cette nouvelle fonctionnalité concerne la commande Invoke-WebRequest , l'une des plus fréquemment utilisées dans les scripts d'automatisation, et affiche un avertissement lorsqu'elle est exécutée sans paramètres supplémentaires. Cette modification est particulièrement importante dans les environnements d'entreprise, où ces scripts gèrent des tâches récurrentes et souvent critiques. Ce nouveau comportement entre en vigueur après l'installation des mises à jour KB5072033 et KB5071417 sous Windows 11, et KB5071546 sous Windows 10 ESU . PowerShell 5.1 demande désormais une confirmation manuelle lorsqu'un script utilise la simple commande Invoke-WebRequest , en affichant un avertissement concernant le risque d'analyse de la page. La particularité de PowerShell 5.1 est l'analyse complète du contenu HTML lors du téléchargement. Ce processus peut exécuter par inadvertance du code présent sur la page lors de l'analyse syntaxique, ouvrant ainsi la voie à des attaques d'exécution de code à distance ( RCE) . PowerShell 7 évite ce problème grâce à un moteur d'analyse syntaxique différent. La nouvelle invite interrompt l'opération sauf confirmation explicite. Les scripts qui s'exécutent sans intervention risquent donc de se bloquer en attendant une interaction , ce qui impacte immédiatement les activités de provisionnement, de déploiement ou de surveillance.

Microsoft recommande d'utiliser le paramètre -UseBasicParsing pour éviter l'analyse syntaxique avancée du contenu. Cette option traite la page comme du texte brut et neutralise complètement la vulnérabilité CVE-2025-54100 . Cette modification affecte également les commandes curl , car sous Windows, elles constituent un alias de Invoke-WebRequest . Les scripts utilisant cette syntaxe héritent donc du même comportement et peuvent rencontrer les mêmes plantages. Les administrateurs qui gèrent d'anciens scripts doivent donc vérifier la présence de commandes non paramétrées et mettre à jour leurs procédures. Selon Microsoft, les scripts qui téléchargent des fichiers ou lisent du contenu sous forme de texte ne nécessitent aucune modification supplémentaire au-delà de l'ajout du paramètre recommandé. Cette image illustre une fois de plus à quel point les opérations quotidiennes peuvent dépendre de détails techniques apparemment insignifiants . Un simple changement de commande, même parmi les plus courants, nous rappelle combien l'équilibre entre automatisation, sécurité et continuité d'activité est fragile.