Microsoft ha lanzado actualizaciones de seguridad correspondientes al mes de septiembre para varios productos con el objetivo de remediar múltiples vulnerabilidades de severidad alta y crítica. Un actor malicioso podría explotar algunas de estas vulnerabilidades para lograr denegación de servicio, elevación de privilegios, ejecución remota de código, entre otros.
Productos afectados
- Windows
- SQL Server
- Microsoft Office
- Azure
- Extended Security Updates (ESU)
- Y otros productos.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-55232: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad por deserialización de datos inseguros en Microsoft High Performance Compute Pack (HPC). Un actor malicioso podría lograr ejecutar código sobre una red.
CVE-2025-55227: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos debido a una inadecuada neutralización de caracteres especiales. Un actor malicioso podría lograr la elevación de privilegios.
CVE-2025-55234: con una puntuación de 8.8 en CVSS v3.1. El servidor SMB podría ser susceptible a ataques de relay dependiendo de la configuración. Un actor malicioso podría explotar esta vulnerabilidad para lograr la elevación de privilegios.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-55232
- https://nvd.nist.gov/vuln/detail/CVE-2025-55227
- https://nvd.nist.gov/vuln/detail/CVE-2025-55234
- https://msrc.microsoft.com/update-guide/releaseNote/2025-Sep