Resumen ejecutivo
Microsoft ha publicado su Boletín de Seguridad mensual (Patch Tuesday) en agosto de 2025, identificando un total de 385 vulnerabilidades en sus productos.
De estas 385 vulnerabilidades, 17 son de severidad crítica, 91 son importantes, 2 son moderadas y 1 es de baja severidad. Es importante destacar que se ha detectado una vulnerabilidad 0-day.
Las vulnerabilidades más críticas identificadas incluyen problemas de elevación de privilegios, ejecución remota de código y divulgación de información en varios productos de Microsoft, incluyendo Azure, Windows y Microsoft Office. Aunque ninguna de estas vulnerabilidades está siendo explotada activamente, una de ellas ha sido divulgada públicamente.
La clasificación de las vulnerabilidades según su descripción es la siguiente:
- 275 vulnerabilidades de sin descripción específica.
- 44 vulnerabilidades de elevación de privilegios.
- 35 vulnerabilidades de ejecución remota de código.
- 18 vulnerabilidades de divulgación de información.
- 8 vulnerabilidades de spoofing (suplantación).
- 4 vulnerabilidades de denegación de servicio.
- 1 vulnerabilidades de alteración de datos.
Recursos afectados
Estas vulnerabilidades afectan a los productos:
- Azure File Sync
- Azure OpenAI
- Azure Portal
- Azure Stack
- Azure Virtual Machines
- Desktop Windows Manager
- GitHub Copilot and Visual Studio
- Graphics Kernel
- Kernel Streaming WOW Thunk Service Driver
- Kernel Transaction Manager
- Microsoft 365 Copilot's Business Chat
- Microsoft Brokering File System
- Microsoft Dynamics 365 (on-premises)
- Microsoft Edge for Android
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office PowerPoint
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Teams
- Remote Access Point-to-Point Protocol (PPP) EAP-TLS
- Remote Desktop Server
- Role: Windows Hyper-V
- SQL Server
- Storage Port Driver
- Web Deploy
- Windows Ancillary Function Driver for WinSock
- Windows Cloud Files Mini Filter Driver
- Windows Connected Devices Platform Service
- Windows DirectX
- Windows Distributed Transaction Coordinator
- Windows File Explorer
- Windows GDI+
- Windows Installer
- Windows Kernel
- Windows Kerberos
- Windows Local Security Authority Subsystem Service (LSASS)
- Windows Media
- Windows Message Queuing
- Windows NT OS Kernel
- Windows NTFS
- Windows NTLM
- Windows PrintWorkflowUserSvc
- Windows Push Notifications
- Windows Remote Desktop Services
- Windows Routing and Remote Access Service (RRAS)
- Windows Security App
- Windows SMB
- Windows StateRepository API
- Windows Subsystem for Linux
- Windows Win32K - GRFX
- Windows Win32K - ICOMP
Análisis técnico
Los detalles de las vulnerabilidades divulgadas son:
- CVE-2025-53779: Vulnerabilidad de Elevación de Privilegios de Kerberos en Windows
- Severidad: Moderada
- CVSS: 7.2
- Vector CVSS: No disponible
- Divulgación: Sí
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
Los detalles de las vulnerabilidades críticas son:
- CVE-2025-53767: Vulnerabilidad de Elevación de Privilegios en Azure OpenAI
- Severidad: Crítica
- CVSS: 10.0
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: N/A
- Soluciones alternativas: No
- CVE-2025-50165: Vulnerabilidad de Ejecución Remota de Código en el Componente Gráfico de Windows
- Severidad: Crítica
- CVSS: 9.8
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-53766: Vulnerabilidad de Ejecución Remota de Código en GDI+
- Severidad: Crítica
- CVSS: 9.8
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-53792: Vulnerabilidad de Elevación de Privilegios en Azure Portal
- Severidad: Crítica
- CVSS: 9.1
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión:
- Soluciones alternativas: No
- CVE-2025-53778: Vulnerabilidad de Elevación de Privilegios de Windows NTLM
- Severidad: Crítica
- CVSS: 8.8
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Probable
- Soluciones alternativas: No
- CVE-2025-53740: Vulnerabilidad de Ejecución Remota de Código en Microsoft Office
- Severidad: Crítica
- CVSS: 8.4
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-53733: Vulnerabilidad de Ejecución Remota de Código en Microsoft Word
- Severidad: Crítica
- CVSS: 8.4
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-53784: Vulnerabilidad de Ejecución Remota de Código en Microsoft Word
- Severidad: Crítica
- CVSS: 8.4
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Exploitation Unlikely
- Soluciones alternativas: No
- CVE-2025-53731: Vulnerabilidad de Ejecución Remota de Código en Microsoft Office
- Severidad: Crítica
- CVSS: 8.4
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Exploitation Unlikely
- Soluciones alternativas: No
- CVE-2025-53787: Vulnerabilidad de Divulgación de Información en Microsoft 365 Copilot BizChat
- Severidad: Crítica
- CVSS: 8.2
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: N/A
- Soluciones alternativas: No
- CVE-2025-50177: Vulnerabilidad de Ejecución Remota de Código en Microsoft Message Queuing (MSMQ)
- Severidad: Crítica
- CVSS: 8.1
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Probable
- Soluciones alternativas: No
- CVE-2025-49707: Vulnerabilidad de Suplantación en Azure Virtual Machines
- Severidad: Crítica
- CVSS: 7.9
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-50176: Vulnerabilidad de Ejecución Remota de Código en el Núcleo Gráfico de DirectX
- Severidad: Crítica
- CVSS: 7.8
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-53781: Vulnerabilidad de Divulgación de Información en Máquinas Virtuales Azure
- Severidad: Crítica
- CVSS: 7.7
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-48807: Vulnerabilidad de Ejecución Remota de Código en Windows Hyper-V
- Severidad: Crítica
- CVSS: 7.5
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-53793: Vulnerabilidad de Divulgación de Información en Azure Stack Hub
- Severidad: Crítica
- CVSS: 7.5
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Exploitation Unlikely
- Soluciones alternativas: No
- CVE-2025-53774: Vulnerabilidad de Divulgación de Información en Microsoft 365 Copilot BizChat
- Severidad: Crítica
- CVSS: 6.5
- Vector CVSS: No disponible
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
Mitigación / Solución
Para prevenir estas y otras vulnerabilidades, se recomienda aplicar las actualizaciones de seguridad más recientes de Microsoft en todos los sistemas afectados.