Microsoft anunció el martes 109 parches que afectan a 16 familias de productos. Dieciocho de los problemas abordados son considerados por Microsoft como de gravedad crítica, y 31 tienen una puntuación CVSS base de 8,0 o superior, incluyendo un 10,0 «perfecto» que afecta a Azure. No se conoce ningún caso de explotación activa en el mundo real, aunque ya se han revelado públicamente dos problemas de Windows (CVE-2025-53786 y CVE-2025-53779).
En el momento de aplicar el parche, Microsoft estima que nueve CVE tienen más probabilidades de ser explotados en los próximos 30 días. Varios de los problemas de este mes pueden detectarse directamente con las protecciones de Sophos, y en la tabla siguiente se incluye información al respecto. Además, ocho CVE incluidos en el conjunto de este mes, que afectan principalmente a familias de productos centrados en la nube, como Azure y 365, ya han sido parcheados, incluido el elemento CVSS-10 mencionado anteriormente.
En cifras
-
Total de CVE: 109
-
Divulgados públicamente: 2*
-
Explotados detectados: 0
-
Gravedad
-
Críticos: 18
-
Importantes: 90
-
Moderados: 1
-
-
Impacto
-
Elevación de privilegios: 44
-
Ejecución remota de código: 35
-
Divulgación de información: 18
-
Suplantación de identidad: 7
-
Denegación de servicio: 4
-
Manipulación: 1
-
-
Puntuación CVSS base 10,0: 1
-
Puntuación CVSS base 9,0 o superior: 5
-
Puntuación CVSS base 8,0 o superior: 31
* El material oficial publicado por Microsoft indica que solo una vulnerabilidad, CVE-2025-53779, se ha revelado públicamente según sus normas. Sin embargo, CVE-2025-53786 se demostró públicamente en Black Hat la semana pasada y se ha debatido ampliamente desde entonces, hasta el punto de que se ha emitido una directiva de emergencia de la CISA. La incluimos en nuestro recuento para completar la información.
Productos
-
Windows: 65*
-
365: 16**
-
Office: 16
-
Azure: 7***
-
SQL: 6
-
Exchange: 5
-
Excel: 4
-
SharePoint: 4
-
Word: 3
-
Dynamics 365: 2
-
PowerPoint: 1
-
Teams: 1
-
Visual Studio: 1
-
Web Deploy: 1
-
Aplicación de seguridad de Windows: 1
-
Subsistema de Windows para Linux (WSL2): 1
* Como se ha mencionado, la información sobre la versión indica que dos de ellas se corrigieron con la versión de julio; incluimos esas dos en los recuentos de agosto aquí y en todo este artículo.
** Incluye dos parches de gravedad crítica para el chat empresarial de Microsoft 365 Copilot.
*** La información de la versión indica que cuatro de las vulnerabilidades de Azure ya se han mitigado.
Como es habitual en esta lista, los CVE que se aplican a más de una familia de productos se cuentan una vez por cada familia a la que afectan. Por cierto, cabe señalar que los nombres de los CVE no siempre reflejan con exactitud las familias de productos afectadas. En particular, algunos nombres de CVE de la familia Office pueden mencionar productos que no aparecen en la lista de productos afectados por el CVE, y viceversa.
Actualizaciones destacadas de agosto
Además de los problemas mencionados anteriormente, hay una serie de aspectos específicos que merecen atención.
CVE-2025-50165: vulnerabilidad de ejecución remota de código en el componente gráfico de Windows
CVE-2025-53766: vulnerabilidad de ejecución remota de código en GDI
Es un mes difícil para los componentes relacionados con los gráficos de Windows, ya que estas dos vulnerabilidades tienen una puntuación base CVSS de 9,8. CVE-2025-50165 no requiere interacción del usuario y puede ser explotada mediante una función no inicializada que se activa al decodificar un archivo JPEG malicioso, que podría estar incrustado en un documento, una página web o cualquier otro lugar. Afecta exclusivamente a las versiones más recientes de Windows (Win 11 2H24, Server 2025). Del mismo modo, CVE-2025-53766 podría activarse sin interacción del usuario, si un atacante lograra cargar documentos que contuvieran un metarchivo especialmente diseñado en un servicio web. Alternativamente, podrían crear un documento que contuviera el metarchivo, enviarlo a un usuario desprevenido y conseguir que lo abriera. Inusualmente, este CVE afecta tanto a Windows como a Office.
CVE-2025-49712: vulnerabilidad de ejecución remota de código en Microsoft SharePoint
Como bien saben la mayoría de los observadores de Microsoft, hubo mucho que decir entre las versiones del Patch Tuesday de julio y agosto sobre SharePoint. Sin embargo, este problema no parece estar relacionado con ToolShell, aunque es bastante desagradable por sí solo, ya que permite a cualquier atacante autenticado ejecutar código a través de la red con pocos conocimientos previos de la misma.
CVE-2025-53731, CVE-2025-53733, CVE-2025-53740, CVE-2025-53784: cuatro problemas de 365/Office
El panel de vista previa es un vector para estas cuatro vulnerabilidades.
CVE-2025-53774, CVE-2025-53787: vulnerabilidad de divulgación de información de Microsoft 365 Copilot BizChat
Estas vulnerabilidades de divulgación de información, ambas de gravedad crítica, se mencionan en la información resumida de Microsoft para agosto, pero la empresa señala que ambas ya se han mitigado. Sin embargo, CVE-2025-53787 en particular no pasó desapercibida, y los comentaristas de Internet tuvieron mucho que decir sobre las implicaciones futuras de los errores de esta naturaleza. Es interesante señalar que la información anterior de Microsoft, según la publicación de WindowsForum, consideraba que el problema era de importancia importante; la publicación del martes lo clasificó como crítico.
CVE-2025-53786: vulnerabilidad de elevación de privilegios en la implementación híbrida de Microsoft Exchange Server
Como se ha señalado anteriormente, este problema de EoP de gravedad importante recibió mucha atención en Black Hat y por parte de la CISA a principios de este mes. Se trata de un error que debe tomarse en serio, y Microsoft afirma que cree que es una de las vulnerabilidades con más probabilidades de ser explotadas en los primeros 30 días tras su publicación. Pero la historia de cómo llegó este parche a la versión es interesante desde el punto de vista de la divulgación. El descubridor, Dirk-jan Mollema, de Outsider Security, colaboró con Microsoft para resolver el problema antes de su presentación en Black Hat. A su vez, Microsoft reconoce su hallazgo en sus materiales de lanzamiento, lo que demuestra que la divulgación se coordinó bien. El problema en sí está relacionado con una revisión de abril para implementaciones híbridas de Exchange.
CVE-2024-53772: vulnerabilidad de ejecución remota de código en Web Deploy
Web Deploy, para aquellos que no estén familiarizados con la herramienta, se utiliza para implementar aplicaciones web y sitios web en servidores IIS. Probablemente sea familiar para los usuarios de Visual Studio.
Protecciones de Sophos
| CVE | Sophos Intercept X/Endpoint IPS | Sophos XGS Firewall |
| CVE-2025-49743 | Exp/2549743-A | Exp/2549743-A |
| CVE-2025-50167 | Exp/2550167-A | Exp/2550167-A |
| CVE-2025-50168 | Exp/2550168-A | Exp/2550168-A |
| CVE-2025-50177 | SID:2311472,2311473 | SID:2311472,2311473 |
| CVE-2025-53132 | Exp/2553132-A | Exp/2553132-A |
| CVE-2025-53147 | Exp/2553147-A | Exp/2553147-A |
| CVE-2025-53778 | SID:2311491 | SID:2311491 |
Como cada mes, si no deseas esperar a que tu sistema descargue las actualizaciones de Microsoft, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para determinar qué versión de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualización acumulativa para la arquitectura y el número de compilación específicos de tu sistema.
