Parches Microsoft 2025

Parche de Microsoft junio 2025

Introducción

Microsoft ha publicado el Patch Tuesday correspondiente al mes de junio con 66 vulnerabilidades de interés. A continuación, se exponen las más críticas:

Análisis

CVE-2025-47172 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H- 8.8

CVE‑2025‑47172 corresponde a una vulnerabilidad de tipo inyección SQL (CWE‑89). A través de ella, un atacante que cuente con acceso autenticado, aunque solo tenga permisos básicos, como los asignados a un “miembro del sitio", puede enviar solicitudes maliciosas que permitan ejecutar código arbitrario en el servidor. Esta ejecución puede comprometer la integridad, confidencialidad y disponibilidad de los datos almacenados en la plataforma. La vulnerabilidad impacta a las siguientes versiones de SharePoint Server:

• SharePoint Server 2016 (versiones anteriores a 16.0.5504.1001)
• SharePoint Server 2019 (versiones anteriores a 16.0.10417.20018)
• SharePoint Server Subscription Edition (versiones anteriores a 16.0.18526.20396)

Se recomienda aplicar los siguientes parches:

• Para SharePoint Server 2016: actualización acumulativa correspondiente a junio de 2025
• Para SharePoint Server 2019: KB5002729
• Para SharePoint Server Subscription Edition: actualización de seguridad incluida en la acumulativa de junio

CVE-2025-30399 - CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C - 7.5

CVE-2025-30399 corresponde a un error relacionado con el uso de rutas de búsqueda no confiables (untrusted search path). Esta debilidad permite que una aplicación cargue bibliotecas dinámicas (DLL) desde ubicaciones no seguras, lo que abre la posibilidad de que un atacante suplante dichas bibliotecas con versiones maliciosas. Si un atacante logra posicionar una DLL maliciosa en una ruta que la aplicación considere válida, puede forzar la ejecución de código arbitrario en el sistema afectado. Esta vulnerabilidad impacta directamente a:

• .NET 8.0 (versiones anteriores a la 8.0.17)
• .NET 9.0 (versiones anteriores a la 9.0.6)
• Aplicaciones desarrolladas o ejecutadas en estos entornos
• Proyectos construidos enVisual Studioque utilicen estas versiones de .NET como runtime o framework de destino

Se recomienda:

1. Actualizar a .NET 8.0.17 o .NET 9.0.6, según corresponda
2. Recompilar las aplicaciones afectadas utilizando estas versiones corregidas
3. Revisar y limpiar las rutas de búsqueda configuradas en entornos de desarrollo y producción
4. Implementar controles adicionales en los entornos de compilación para prevenir la inclusión de rutas o archivos no confiables

CVE-2025-47166 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8

CVE-2025-47166 permite que un atacante autenticado ejecute código arbitrario de forma remota aprovechando la carga de datos no confiables durante procesos de deserialización. El punto débil se encuentra en la deserialización de datos sin validar (CWE‑502) en SharePoint. Un atacante con permisos mínimos como un usuario autenticado puede enviar un objeto manipulado que, al deserializarse, desencadena la ejecución de código malicioso en el servidor. 

Afecta a tres principales versiones de SharePoint Server, siempre que no estén actualizadas a las siguientes versiones o superiores:

• SharePoint Server 2016: versiones anteriores a la 16.0.5504.1001
• SharePoint Server 2019: versiones anteriores a la 16.0.10417.20018
• SharePoint Server Subscription Edition: versiones anteriores a la 16.0.18526.20396

Microsoft proporcionó las siguientes actualizaciones de seguridad:

• SharePoint Server 2016: implementa KB5002732 (versión 16.0.5504.1001) 
• SharePoint Server 2019: actualiza mediante KB5002729 (versión 16.0.10417.20018)
• Subscription Edition: también está cubierta en dichos paquetes acumulativos

CVE-2025-47163 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8

CVE-2025-47163 permite a un atacante autenticado ejecutar código arbitrario de forma remota mediante el envío de datos manipulados que desencadenan procesos de deserialización insegura. Las versiones vulnerables incluyen:

• SharePoint Server 2016
• SharePoint Server 2019
• SharePoint Server Subscription Edition

Todas las ediciones son vulnerables si no se han aplicado los parches de junio de 2025, los cuales actualizan a:

• 2016 → build 16.0.5504.1001 (KB5002732)
• 2019 → build 16.0.10417.20018 (KB5002729)
• Subscription Edition → build 16.0.18526.20396 (KB5002736)

Las correcciones aplicadas por Microsoft son:

• SharePoint 2016: parche KB5002732 (build 16.0.5504.1001)
• SharePoint 2019: parche KB5002729 (build 16.0.10417.20018) 
• Subscription Edition: parche KB5002736 (build 16.0.18526.20396)

CVE-2025-47977 - CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N - 7.6

CVE-2025-47977 permite a atacantes realizar un tipo de ataque conocido como Cross-Site Scripting (XSS), que puede usarse para engañar a los usuarios y comprometer la seguridad de sus datos. De esta forma, la plataforma web de Nuance no valida ni filtra correctamente ciertas entradas de datos que los usuarios pueden enviar. Esto permite que un atacante inserte código malicioso, como scripts en JavaScript, dentro del contenido que otros usuarios ven al usar la plataforma. Cuando un usuario accede a ese contenido, el código malicioso se ejecuta en su navegador, pudiendo robar información, modificar la apariencia de la página o suplantar elementos legítimos para engañar a la persona. Afecta específicamente a la Nuance Digital Engagement Platform. Microsoft y Nuance lanzaron un parche para corregir esta vulnerabilidad.

CVE-2025-33053 -  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8.8

CVE-2025-33053 es una grave falla de ejecución remota de código (RCE) en el servicio WebDAV de Microsoft Windows. a explotación de esta vulnerabilidad se lleva a cabo mediante un archivo de acceso directo (.url) malicioso que, al ser abierto, modifica el directorio de trabajo de una herramienta legítima de Windows, como iediagcmd.exe. Esto hace que dicha herramienta ejecute un archivo malicioso desde un servidor WebDAV controlado por el atacante, en lugar de ejecutar el archivo legítimo del sistema. Se recomienda:

• Aplicar las actualizaciones de seguridad proporcionadas por Microsoft
• Deshabilitar el servicio WebDAV si no es necesario para el funcionamiento de los sistemas
• Implementar soluciones de seguridad que detecten y bloqueen la ejecución de archivos maliciosos provenientes de fuentes no confiables

CVE-2025-29828 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 8.1

CVE-2025-29828 es una vulnerabilidad en los Servicios Criptográficos de Windows. Se debe a una falta de liberación de memoria después de su vida útil efectiva, lo que podría permitir a un atacante no autorizado ejecutar código de forma remota a través de la red. La vulnerabilidad afecta a las versiones de Windows que utilizan los Servicios Criptográficos, especialmente en entornos donde se manejan certificados digitales y operaciones criptográficas. Se recomienda a los usuarios instalar el parche correspondiente.

CVE-2025-33071 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C - 8.1

CVE-2025-33071 es una vulnerabilidad de ejecución remota de código (RCE) en el servicio Windows KDC Proxy Service (KPSSVC). Este servicio permite que los servidores de distribución de claves Kerberos (KDC) acepten solicitudes de autenticación desde redes no confiables a través de HTTPS. La vulnerabilidad se debe a un defecto de codificación en el servicio KPSSVC, que puede ser explotado mediante una condición de carrera en el protocolo de autenticación Kerberos. Un atacante no autenticado podría aprovechar esta falla para ejecutar código arbitrario en el servidor afectado.

Esta vulnerabilidad afecta a las versiones de Windows Server que tienen configurado el servicioMS-KKDCP. Es importante destacar que esta configuración no está habilitada por defecto en los controladores de dominio. Microsoft ha publicado una actualización de seguridad para corregir esta vulnerabilidad.

CVE-2025-33070 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 8.1

CVE-2025-33070 afecta al servicio Netlogon en varias versiones de Microsoft Windows Server. Este servicio es fundamental para la autenticación y comunicación segura entre equipos dentro de una red corporativa. El problema radica en un error interno del servicio que puede ser aprovechado por un atacante sin necesidad de autenticación previa. Gracias a esta vulnerabilidad, un atacante que tenga acceso a la red puede elevar sus privilegios y obtener control total sobre el sistema afectado. Esto significa que podría ejecutar código malicioso con permisos elevados, comprometiendo la seguridad, integridad y disponibilidad de los servidores. MIcrosoft ha publicado parches para corregir esta vulnerabilidad.

CVE-2025-32710 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 8.1

CVE-2025-32710 se debe a una condición de uso después de la liberación de memoria (use-after-free) combinada con una condición de carrera en el servicio Remote Desktop Gateway. Estas condiciones permiten a un atacante manipular la memoria del sistema, lo que puede resultar en la ejecución de código malicioso con privilegios elevados. El vector de ataque es remoto, y no se requiere interacción del usuario ni privilegios previos para explotarla. Esta vulnerabilidad afecta a varias versiones de Windows Server que tienen habilitado el servicio Remote Desktop Gateway. Microsoft recomienda aplicar el parche para corregir esta vulnerabilidad.

CVE-2025-33064 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8

CVE-2025-33064 es una vulnerabilidad crítica recientemente identificada en el servicio Routing and Remote Access Service (RRAS) de Microsoft Windows. Esta falla permite a un atacante autorizado ejecutar código de forma remota a través de la red, aprovechando un desbordamiento de búfer basado en heap. Afecta a varias versiones de Windows Server que tienen habilitado el servicio RRAS. Microsoft ha publicado una actualización de seguridad para corregir esta vulnerabilidad.

CVE-2025-33066 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8.8

CVE-2025-33066 permite a un atacante no autenticado ejecutar código de forma remota a través de la red, aprovechando un desbordamiento de búfer en la memoria heap. Esto podría permitir la ejecución de código malicioso con los mismos privilegios que el servicio RRAS, comprometiendo la seguridad del sistema afectado. Esta vulnerabilidad afecta a varias versiones de Windows Server que tienen habilitado el servicio RRAS. Microsoft ha publicado una actualización de seguridad para corregir esta vulnerabilidad.

CVE-2025-33073 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8

CVE-2025-33073 es una vulnerabilidad crítica de elevación de privilegios (EoP) en el cliente SMB de Microsoft Windows. Se trata de un fallo de control de acceso inapropiado (CWE‑284) en la pila SMB del cliente Windows. Un atacante autorizado en la red puede forzar al sistema a conectar de manera involuntaria al servidor del atacante, aprovechando la conexión para escalar privilegios y alcanzar los privilegios SYSTEM, si el alvo no filtra adecuadamente conexiones SMB. Afecta a sistemas Windows recientes que usan el cliente SMB, desde Windows 10/11 hasta versiones de Windows Server en entornos corporativos. Es especialmente relevante en configuraciones donde los equipos de dominio no aplican restricciones sólidas en conexiones SMB. Microsoft recomienda aplicar la actualización de seguridad.

Referencias

• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47172
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-30399
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47166
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47163
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-47977
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-33053
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-29828
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33071
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-33070
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-32710
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-33064
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-33066
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-33073