Actualizaciones mensuales de Microsoft

16/05/2025 Noticias 0

Microsoft ha publicado actualizaciones de seguridad mensuales que abordan un total de 71 nuevas vulnerabilidades. Un actor malicioso podría explotarlas para producir denegación de servicio, elevación de privilegios, ejecución remota de código, evitar restricciones de seguridad, divulgación de información o suplantación de identidad.

Productos afectados

  • .NET, Visual Studio y herramientas de compilación para Visual Studio
  • Servicios de certificados de Active Directory (AD CS)
  • Azure
  • Sistema de archivos de intermediación de Microsoft
  • Microsoft Dataverse, Defender, Edge
  • Microsoft Office Excel, Outlook, Powerpoint, SharePoint
  • Administrador de PC de Microsoft
  • Microsoft PowerApps
  • Motor de scripting de Microsoft
  • Servicio de puerta de enlace de Escritorio remoto
  • Servicio de gestión de impresión universal
  • UrlMon
  • Defensa contra amenazas web (WTD.sys)
  • Controlador de funciones auxiliares de Windows para WinSock
  • Controlador del sistema de archivos de registro común de Windows
  • Servicios de implementación de Windows
  • Controladores de Windows
  • DWM de Windows
  • Servidor de archivos de Windows
  • Fundamentos de Windows
  • Kit de laboratorio de hardware de Windows
  • Instalador de Windows
  • Núcleo de Windows
  • LDAP de Windows: Protocolo ligero de acceso a directorios
  • Windows Media
  • Escritorio remoto de Windows
  • Servicio de enrutamiento y acceso remoto de Windows (RRAS)
  • Modo de kernel seguro de Windows
  • Windows SMB
  • Controlador de interfaz de ejecución de confianza de Windows
  • Bus de máquina virtual de Windows
  • Windows Win32K – GRFX

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-29813: con una puntuación de 10 en CVSS v3.1. Existe una vulnerabilidad donde la omisión de autenticación mediante datos supuestamente inmutables en Azure DevOps podría permitir que un actor malicioso no autorizado eleve privilegios en una red.

CVE-2025-29972: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad donde la falsificación de solicitud del lado del servidor (SSRF) en Azure podría permitir que un actor malicioso autorizado realice suplantación de identidad a través de una red.

CVE-2025-29827: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad donde la autorización incorrecta en Azure Automation podría permitir que un actor malicioso autorizado eleve privilegios en una red.

CVE-2025-47733: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad donde la falsificación de solicitud del lado del servidor (SSRF) en Microsoft Power Apps podría permitir que un actor malicioso no autorizado divulgue información a través de una red.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2025-29813

https://msrc.microsoft.com/update-guide/releaseNote/2025-May

https://www.cve.org/CVERecord?id=CVE-2025-47733

https://www.cve.org/CVERecord?id=CVE-2025-29972

https://www.cve.org/CVERecord?id=CVE-2025-29827

Compartir: