Se ha descubierto una vulnerabilidad en Windows Remote Desktop Services (RDS) que podría permitir a un actor malicioso escalar sus privilegios en los sistemas afectados.
Productos y versiones afectados
• Windows Server 2012 R2: Todas las versiones antes de noviembre de 2025 ESU.
• Windows Server 2008: Todas las versiones antes de noviembre de 2025 ESU.
• Windows Server 2008 R2: Todas las versiones elegibles para ESU antes de la actualización.
• Windows 7 ESU: Todas las versiones elegibles para ESU antes de la actualización.
• Windows 8.1 ESU: Todas las versiones elegibles para ESU antes de la actualización.
Impacto
La vulnerabilidad se ha identificado como:
• CVE-2025-60703: con una puntuación de 7.8 en CVSS:3.1. Existe una vulnerabilidad en la desreferencia de puntero no confiable en Windows Remote Desktop que podría permitir a un actor malicioso elevar los privilegios localmente.
Recomendación
Actualizar los productos afectados a la última versión disponible a través de Windows Update.
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2025-60703