Microsoft anunció el martes 81 parches que afectan a 15 familias de productos. Microsoft considera que nueve de los problemas abordados son de gravedad crítica y nueve tienen una puntuación base CVSS de 8,0 o superior, aunque, para que quede claro, no se trata de los mismos nueve problemas. No se sabe que ninguno de ellos esté siendo explotado activamente, aunque se ha revelado públicamente un problema de Windows (CVE-2025-55234, que afecta a SMB).
En el momento de la publicación del parche, la empresa estima que es más probable que ocho CVE sean explotados en los próximos 30 días. Varios de los problemas de este mes pueden ser detectados directamente por las protecciones de Sophos. En la siguiente tabla incluimos información sobre ellos. Además, varios CVE que no se incluyen en el recuento de este mes, todos ellos excepto uno que afecta a Edge, ya han sido parcheados.
Por números
-
Total de CVE: 81
-
Divulgados públicamente: 1
-
Explotación detectada: 0
-
Gravedad
-
Crítica: 9
-
Importante: 72
-
-
Impacto
-
Elevación de privilegios: 38
-
Ejecución remota de código: 22
-
Divulgación de información: 15
-
Denegación de servicio: 3
-
Omisión de características de seguridad: 2
-
Suplantación de identidad: 1
-
-
Puntuación base CVSS de 9,0 o superior: 1
-
Puntuación base CVSS de 8,0 o superior: 9
Productos
-
Windows: 58
-
365: 13
-
Office: 13
-
Excel: 8
-
SharePoint: 3
-
Azure: 2
-
SQL: 2
-
Microsoft AutoUpdate (MAU) para Macintosh: 1
-
Microsoft High Performance Compute Pack: 1
-
Nuance PowerScribe: 1
-
Office para Android: 1
-
OfficePLUS: 1
-
PowerPoint: 1
-
Word: 1
-
Sistema de juegos Xbox: 1
Como es habitual en esta lista, los CVE que se aplican a más de una familia de productos se cuentan una vez por cada familia a la que afectan. Cabe señalar, por cierto, que los nombres de los CVE no siempre reflejan con exactitud las familias de productos afectadas. En concreto, algunos nombres de CVE de la familia Office pueden mencionar productos que no aparecen en la lista de productos afectados por el CVE, y viceversa. (CVE-2025-54907, «Vulnerabilidad de ejecución remota de código en Microsoft Office Visio», es un excelente ejemplo de esto para septiembre; Visio no aparece en la lista de productos afectados por este problema).
OfficePLUS es un complemento de la suite Office habitual. Como tal, Microsoft lo identifica como parte de su propia familia de productos. También hemos decidido incluir el único parche de Office para Android como parte de su propia familia; a continuación se ofrece una descripción de este CVE.
Actualizaciones destacadas de septiembre
Además de los problemas mencionados anteriormente, hay una serie de aspectos específicos que merecen atención.
CVE-2025-55234: vulnerabilidad de elevación de privilegios en SMB de Windows
Este problema de elevación de privilegios de autenticación en el protocolo Server Message Block de Windows es la única vulnerabilidad de este mes que ya se conoce públicamente, y Microsoft espera que sea más probable que la mayoría que se aproveche en los próximos 30 días. Dicho esto, el servidor SMB cuenta con múltiples mecanismos para protegerse contra ataques de retransmisión como este, y la empresa remite a los administradores interesados a más información sobre dichos métodos.
CVE-2025-55232: vulnerabilidad de ejecución remota de código en Microsoft High Performance Compute (HPC) Pack
Este problema, al que Microsoft asigna una gravedad importante pero una puntuación base CVSS de 9,8, podría permitir a un atacante ejecutar código remoto sin la interacción del usuario. El problema afecta al puerto 5999, y la empresa recomienda que los usuarios ejecuten sus clústeres HPC Pack en una red de confianza protegida por reglas de firewall específicas para ese puerto TCP, que suele estar habilitado para la administración remota.
CVE-2025-53799: vulnerabilidad de divulgación de información del componente de imágenes de Windows
Este problema de divulgación de información de gravedad crítica es, inusualmente, compartido entre Windows y Office para Android (pero no otras versiones de Office). El atacante tendría que convencer al objetivo para que abriera un archivo malicioso y, a cambio, podría leer pequeñas partes de la memoria, lo que probablemente serviría como una pequeña parte de una cadena de ataques mayor.
CVE-2025-54897: vulnerabilidad de ejecución remota de código en Microsoft SharePoint
Vuelve a ser la hora de kitten on the keys con el regreso al buscador MAPP del gato Vanilla de zcgonvh, ese temible cazador de errores de SharePoint. La captura de este mes es un RCE de gravedad importante con una sólida puntuación base CVSS de 8,8. Buen gatito.
CVE-2025-54107, CVE-2025-54917: vulnerabilidad de omisión de la función de seguridad MapUrlToZone (dos CVE)
Ahora que Windows 10 entra en su último mes de soporte técnico general, estos dos CVE con nombres idénticos, traídos por las letras I y E, nos recuerdan que el pasado nunca muere; ni siquiera es pasado, al menos si el ADN de tu sistema operativo incluye bits de ese navegador retirado hace tiempo. Ambos son problemas de omisión de la función de seguridad de gravedad importante. Cuarenta y cuatro de los parches de este mes se aplican a Windows 10, incluidos estos dos.
Protecciones de Sophos
| CVE | Sophos Intercept X/Endpoint IPS | Sophos XGS Firewall |
| CVE-2025-54093 | Exp/2554093-A | Exp/2554093-A |
| CVE-2025-54098 | Exp/2554098-A | Exp/2554098-A |
| CVE-2025-54110 | Exp/2554110-A | Exp/2554110-A |
| CVE-2025-54918 | SID:2311578 | SID:2311578 |
Como cada mes, si no quieres esperar a que tu sistema descargue las actualizaciones de Microsoft, puedes descargarlas manualmente desde el sitio web de Windows Update. Ejecuta la herramienta winver.exe para determinar qué versión de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualización acumulativa para la arquitectura y el número de compilación específicos de tu sistema.
