Microsoft ha lanzado actualizaciones de seguridad mensuales que resuelven múltiples vulnerabilidades, entre ellas algunas de severidad alta.
Productos y versiones afectados
• Agente de monitor de Azure
• Programa de Mejora de la Experiencia del Cliente (CEIP)
• Servicio de campo de Dynamics 365 (en línea)
• Código de estudio y videovisual de GitHub
• Proceso de host para tareas de Windows
• Administrador de configuración de Microsoft
• Microsoft Dynamics 365 (en las instalaciones)
• Componente de Microsoft Graphics
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Office Word
• Servicio de Streaming de Microsoft
• Sistema de aprovisionamiento inalámbrico de Microsoft
• Servicio de Programador de Clase Multimedia (MMCSS)
• Nuance PowerScribe
• OneDrive para Android
• Rol: Windows Hyper-V
• Varios otros productos
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
• CVE-2025-30398: con una puntuación de 8.1 en CVSS 3.1. Existe una vulnerabilidad en la falta de autorización en Nuance PowerScribe que permitiría a un actor malicioso revelar información a través de una red.
• CVE-2025-59499: con una puntuación de 8.8 en CVSS 3.1. Existe una vulnerabilidad en la neutralización incorrecta de elementos especiales utilizados en un comando sql en SQL Server que permitiría un actor malicioso elevar privilegios a través de una red.
• CVE-2025-59504: con una puntuación de 7.3 en CVSS 3.1. Existe una vulnerabilidad en el desbordamiento de búfer basado en memoria dinámica en Azure Monitor Agent permitiría a un actor maliccioso ejecutar código localmente.
Recomendación
Actualizar los productos afectados a la última versión disponible a través de la función de Windows Update apropiada.
Referencias
https://www.cve.org/CVERecord?id=CVE-2025-30398
https://www.cve.org/CVERecord?id=CVE-2025-59499
https://www.cve.org/CVERecord?id=CVE-2025-59505