Microsoft ha lanzado actualizaciones de seguridad mensuales que resuelven un total de 57 nuevas vulnerabilidades, una de tipo 0 día (0dayz) y 2 para la que un PoC está disponible en la red.
Productos y versiones afectados
• Servicios de Información de Aplicaciones
• Agente de monitor de Azure
• Copiloto
• Sistema de archivos de Microsoft Brokering
• Microsoft Edge para iOS
• Microsoft Exchange Servidor
• Componente de Microsoft Graphics
• Microsoft Office
• Acceso a Microsoft Office
• Microsoft Office Excel
• Microsoft Office Outlook
• Microsoft Office SharePoint
• Microsoft Office Word
• Conductor de Storvsp.sys
• Monitor de servidor de marco de cámara de Windows
• Servicio de almacenamiento en caché del lado del cliente de Windows (CSC)
• Controlador de mini filtro de archivos de Windows Cloud
• Controlador común del sistema del sistema de archivos de registro de Windows
• Biblioteca de núcleos de Windows DWM
• Servicio de Firewall de Windows Defender
• Windows DirectX
• Windows Hyper-V
• Instalador de Windows
• Cola de mensajes de Windows
• Windows PowerShell
• Sistema de archivos proyectado de Windows
• Controlador de filtro de sistema de archivos proyectado de Windows
• Administrador de conexiones de acceso remoto de Windows
• Sistema de archivos resiliente a Windows (ReFS)
• Servicio de enrutamiento y acceso remoto de Windows (RRAS)
• Windows Shell
• Controlador VSP de almacenamiento de Windows
• Windows Win32K – GRFX
Impacto
Algunas de las vulnerabilidades se han identificado como:
• CVE-2025-54100: con una puntuación de 7.8 CVSS:3.1. Existe una vulnerabilidad en la neutralización incorrecta de elementos especiales utilizados en un comando (‘inyección de comandos’) en Windows PowerShell podría permitir a un actor malicioso no autorizado ejecutar código localmente.
• CVE-2025-55233: con una puntuación de 7.8 CVSS:3.1. Existe una vulnerabilidad en la lectura fuera de límites en el sistema de archivos proyectado de Windows podría permitir a un actor malicioso autorizado elevar privilegios localmente.
• CVE-2025-59516: con una puntuación de 7.8 CVSS:3.1. Existe una vulnerabilidad en la falta de autenticación para la función crítica en Windows Storage VSP Driver podría permitir a un actor malicioso autorizado elevar privilegios localmente.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2025-54100
https://nvd.nist.gov/vuln/detail/CVE-2025-55233
https://nvd.nist.gov/vuln/detail/CVE-2025-59516