Microsoft publicó el martes 71 parches que afectan a 14 familias de productos. Seis de los problemas abordados, cinco relacionados con la ejecución remota de código y uno que permite la divulgación de información (incluida la información de identificación personal, PII), son considerados por Microsoft como de gravedad crítica, y 12 tienen una puntuación CVSS base de 8,0 o superior. Se sabe que cinco, todos ellos problemas de gravedad importante en Windows, están siendo explotados activamente en el mundo real.
En el momento de la publicación del parche, la empresa estima que es muy probable que se exploten nueve CVE adicionales en los próximos 30 días. Varios de los problemas de este mes pueden detectarse directamente con las protecciones de Sophos, y en una tabla más abajo se incluye información al respecto.
Además de estos parches, la publicación incluye ocho problemas de Adobe Reader de gravedad importante que afectan a ColdFusion. Estos se enumeran en el apéndice D a continuación. Dicho apéndice también contiene información sobre ocho vulnerabilidades relacionadas con Edge y siete que afectan a Azure, Dataverse o Power Apps. Aunque varios de los problemas no relacionados con Edge son preocupantes, con puntuaciones CVSS Base superiores a 9,0 (un 10 «perfecto» en un caso), la información publicada por Microsoft indica que todos han sido corregidos en los últimos días; en otras palabras, la información proporcionada es estrictamente informativa.
En cifras
-
Total de CVE: 71
-
Divulgados públicamente: 2
-
Exploit detectado: 5
-
Gravedad
-
Crítica: 6
-
Importante: 65
-
-
Impacto:
-
Ejecución remota de código: 28
-
Elevación de privilegios: 17
-
Divulgación de información: 15
-
Denegación de servicio: 7
-
Omisión de características de seguridad: 2
-
Suplantación de identidad: 2
-
-
Puntuación CVSS base de 9,0 o superior: 1*
-
Puntuación CVSS base de 8,0 o superior: 11
* Este mes se han asignado puntuaciones CVSS significativas a una serie de problemas solo de carácter informativo que afectan a Azure, Dataverse y Power Apps, pero que Microsoft ha corregido antes del lanzamiento de mayo.
Productos
-
Windows: 43
-
Office: 14
-
365: 13
-
Excel: 7
-
SharePoint: 4
-
Visual Studio: 4
-
Cliente RDP: 2
-
.NET: 1
-
Azure: 1
-
Dataverse: 1
-
Defender: 1
-
Nuance PowerScribe 360: 1
-
PC Manager: 1
-
Windows HLK: 1
Como es habitual en esta lista, los CVE que se aplican a más de una familia de productos se cuentan una vez por cada familia a la que afectan. Cabe señalar, por cierto, que los nombres de los CVE de mayo no siempre reflejan con exactitud las familias de productos afectadas. En concreto, algunos nombres de CVE de la familia Office pueden mencionar productos que no aparecen en la lista de productos afectados por el CVE, y viceversa.
Actualizaciones destacadas de mayo
Además de los problemas mencionados anteriormente, hay una serie de elementos específicos que merecen atención.
CVE-2025-30385, CVE-2025-30701, CVE-2025-32706: vulnerabilidad de elevación de privilegios del controlador del sistema de archivos de registro común de Windows
Los problemas de CLFS representan dos de las cinco vulnerabilidades que actualmente se sabe que están siendo utilizadas en el mundo real y se espera que la otra (CVE-2025-30385) entre en acción en los próximos 30 días. El sistema de registro ha recibido un gran número de parches en los últimos años, incluido el abuso reciente por parte del malware Play y PipeMagic de CVE-2025-29824, que se parcheó el mes pasado. Se sabe que Microsoft está preparando un nuevo paso de verificación para analizar los archivos de registro CLFS, pero mientras tanto, el sistema está dando muchos quebraderos de cabeza a los administradores como fuente de problemas para el RDP.
CVE-2025-30377, CVE-2025-30386: vulnerabilidad de ejecución remota de código en Microsoft Office
Ambas vulnerabilidades pueden activarse a través del panel de vista previa. Si se tratara de una competición, CVE-2025-30386 tendría una ligera ventaja, ya que Microsoft considera que, en el peor de los casos, según sus propias palabras, «un atacante podría enviar un correo electrónico especialmente diseñado al usuario sin necesidad de que la víctima lo abra, lo lea o haga clic en el enlace». Ambas vulnerabilidades se aplican tanto a 365 como a Office.
CVE-2025-27488: vulnerabilidad de elevación de privilegios en Microsoft Windows Hardware Lab Kit (HLK)
Este error, clasificado como importante, afecta al Windows Hardware Kit Lab, un marco para probar dispositivos y controladores de hardware para determinadas ediciones de Windows; varias versiones del kit completo también se actualizan este mes. Eso es bueno, ya que el problema en sí reside en cierta infraestructura de terceros dentro del kit que utiliza una contraseña codificada (!).
CVE-2025-30384: vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server
Se trata de un problema de gravedad importante que requiere que el atacante prepare el objetivo con antelación. El descubridor de este elemento es «zcgonvh’s cat Vanilla». Admitimos que sentimos cierta curiosidad por saber cómo Vanilla detectó este error. ¿Utilizó… un ratón?
Protecciones de Sophos
| CVE | Sophos Intercept X/Endpoint IPS | Sophos XGS Firewall |
| CVE-2025-24063 | Exp/2524063-A | Exp/2524063-A |
| CVE-2025-29971 | Exp/2529971-A | Exp/2529971-A |
| CVE-2025-30377 | sid:2310992 | sid:2310992 |
| CVE-2025-30386 | sid:2310976 | sid:2310976 |
| CVE-2025-30388 | sid:2310990 | sid:2310990 |
| CVE-2025-30397 | Exp/2530397-A | Exp/2530397-A |
| CVE-2025-30400 | Exp/2530400-A | Exp/2530400-A |
| CVE-2025-32701 | Exp/2532701-A | Exp/2532701-A |
| CVE-2025-32706 | Exp/2532706-A | Exp/2532706-A |
| CVE-2025-32709 | Exp/2532709-A | Exp/2532709-A |
Como cada mes, si no quieres esperar a que tu sistema descargue las actualizaciones de Microsoft, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para determinar qué versión de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualización acumulativa para la arquitectura y el número de compilación específicos de tu sistema.
