Microsoft publicó el martes 67 parches que afectan a 12 familias de productos. Diez de los problemas abordados, cinco relacionados con 365 y Office y uno con SharePoint, son considerados por Microsoft como de gravedad crítica, y 17 tienen una puntuación CVSS base de 8,0 o superior. Uno de ellos, una RCE de gravedad importante en Windows relacionada con WEBDAV (CVE-2025-33053), se sabe que está siendo explotado activamente en el mundo real. Se ha revelado públicamente otro problema SMB, pero actualmente no se sabe si está siendo explotado.
En el momento de aplicar los parches, la empresa estima que es más probable que se exploten nueve CVE adicionales en los próximos 30 días, sin incluir el problema WEBDAV mencionado anteriormente. Varios de los problemas de este mes pueden detectarse directamente con las protecciones de Sophos, y en la tabla siguiente se incluye información al respecto. Entre ellas se incluye sin duda CVE-2025-33053, en la que Sophos ha mostrado un interés especial y, al parecer, viceversa. Más información sobre este CVE a continuación. Además de estos parches, la versión incluye diez correcciones de Adobe Reader, cuatro de ellas consideradas de gravedad crítica.
En cifras
- Total de CVE: 67
- Divulgados públicamente: 1
- Explotación detectada: 1
- Gravedad
- Crítica: 10
- Importante: 57
- Impacto
- Ejecución remota de código: 26
- Divulgación de información: 17
- Elevación de privilegios: 13
- Denegación de servicio: 6
- Omisión de características de seguridad: 3
- Suplantación de identidad: 2
- Puntuación CVSS base de 9,0 o superior: 0*
- Puntuación CVSS base 8,0 o posterior: 18
* Se ha asignado una puntuación CVSS base de 9,8 a un problema que afecta a Power Automate para escritorio, pero que Microsoft corrigió el 5 de junio. Dado que se mitigó antes del lanzamiento, tratamos esa información como meramente informativa y no la incluimos en las estadísticas de este mes. Del mismo modo, el aviso de Copilot publicado el 11 de junio tiene una puntuación CVSS base de 9,3, pero no figura en estos recuentos ni gráficos.
Productos
- Windows: 45*
- 365: 15
- Office: 14
- SharePoint: 5
- Visual Studio: 2
- Word: 2
- .NET: 1
- Excel: 1
- Microsoft AutoUpdate para Macintosh: 1
- Nuance Digital Engagement Platform: 1
- Outlook: 1
- PowerPoint: 1
* Se incluyen en el recuento de Windows, para mayor comodidad del lector, un parche de Windows SDK (CVE-2025-47962) y otro que afecta al componente de la aplicación Windows Security (CVE-2025-47956), aunque ninguno de ellos afecta a versiones específicas de las plataformas cliente o servidor.
Como es habitual en esta lista, los CVE que se aplican a más de una familia de productos se cuentan una vez por cada familia a la que afectan. Ten en cuenta que los nombres de los CVE no siempre reflejan con exactitud las familias de productos afectadas. En concreto, algunos nombres de CVE de la familia Office pueden mencionar productos que no aparecen en la lista de productos afectados por el CVE, y viceversa.
Actualizaciones destacadas de junio
Además de los problemas mencionados anteriormente, hay varios aspectos específicos que merecen atención.
CVE-2025-33053: vulnerabilidad de ejecución remota de código en Web Distributed Authoring and Versioning (WebDAV)
El único problema parcheado que se conoce actualmente y que se está explotando en la red es un fallo de gravedad importante en el código de Web Distributed Authoring and Versioning, que ha sido la base de gran parte de Internet desde la era de IE. Ese es el problema: este parche afecta a las plataformas MSHTML, EdgeHTML y de scripting, todas ellas aún compatibles. Esto significa que los clientes de Microsoft que actualmente solo reciben actualizaciones de seguridad deben instalar las actualizaciones acumulativas de IE para protegerse adecuadamente contra esta vulnerabilidad; en otras palabras, es algo que nos afecta a todos.
Los ciberdelincuentes que explotan esa vulnerabilidad aparentemente encontraron molestas las protecciones de Sophos. La protección de endpoints analiza los nuevos programas antes de que se ejecuten, pero después del lanzamiento, el análisis se interrumpe. Los atacantes explotan esto entregando programas con cuerpos cifrados que evaden el análisis estático y los modelos de IA. Una vez en ejecución, el código se descifra a sí mismo, carga implantes y se ejecuta completamente en la memoria, sin tocar nunca el disco.
Sophos contrarresta esto con la protección dinámica contra código shell, que limita la cantidad de memoria ejecutable que puede asignar un proceso. Esa restricción rompe los ataques sigilosos en memoria, lo que obliga a los adversarios a recurrir a técnicas más ruidosas y detectables, como la inyección remota, que son mucho más fáciles de detectar.
Después, los atacantes se habrían encontrado con varias capas más de Sophos de listas negras, firmas antimalware y otras defensas, pero nos fascina vernos reflejados en el código de un adversario como un hueso especialmente duro de roer. En cualquier caso, recomendamos, como siempre, que los defensores den prioridad a los parches de mayor perfil, como este.
CVE-2025-33073: vulnerabilidad de elevación de privilegios del cliente SMB de Windows
Aún no se sabe si se está explotando activamente, y Microsoft indica que cree que es poco probable que se explote en los próximos 30 días, pero este EoP de gravedad importante es el único CVE de junio que se ha revelado públicamente hasta ahora. El problema se reduce a controles de acceso inadecuados y afecta a todas las versiones de clientes y servidores Windows compatibles.
CVE-2025-47166: vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server
Tras su aparición en mayo, «zcgonvh’s cat Vanilla» vuelve a aparecer inmediatamente en la lista de hallazgos. Así es, el gato regresó el martes siguiente, día de parches.
CVE-2025-32711: vulnerabilidad de divulgación de información en M365 Copilot
Por último, una CVE que no se publicó en la recopilación del martes, pero que mereció la publicación de un aviso al día siguiente: un error de divulgación de información de gravedad crítica, con una puntuación CVSS de 9,3, que permitía a un atacante no autorizado utilizar la inyección de comandos para divulgar información de la herramienta de IA. La vulnerabilidad se divulgó de forma responsable a Microsoft y la empresa afirmó el miércoles por la mañana que el parche ya se había enviado a los clientes.
Protecciones de Sophos
| CVE | Sophos Intercept X/Endpoint IPS | Sophos XGS Firewall |
| CVE-2025-32713 | Exp/2532713-A | Exp/2532713-A |
| CVE-2025-32714 | Exp/2532714-A | Exp/2532714-A |
| CVE-2025-33053 | sid:2311111 | sid:2311111 |
| CVE-2025-33070 | sid:2311128 | sid:2311128 |
| CVE-2025-47162 | sid:2311145 | sid:2311145 |
| CVE-2025-47164 | sid:2311146 | sid:2311146 |
| CVE-2025-47167 | sid:231113 | sid:231113 |
CVE-2025-33053 también tiene una detección a tener en cuenta, Troj/UrlRun-B, además de la firma XSG mencionada anteriormente.
Como cada mes, si no deseas esperar a que tu sistema descargue las actualizaciones de Microsoft, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para determinar qué versión de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualización acumulativa para la arquitectura y el número de compilación específicos de tu sistema.