Resumen ejecutivo
Microsoft ha publicado su Boletín de Seguridad mensual (Patch Tuesday) en diciembre de 2025 con el total de 154 vulnerabilidades identificadas, de las cuales 58 tienen descripción específica.
Las 58 vulnerabilidades con descripción, se distribuyen de la siguiente manera: 3 son críticas, 54 son importantes y 1 es baja. Además, se han detectado 3 vulnerabilidades 0-day, explotadas o divulgadas, lo que resalta la urgencia de abordar estos problemas de seguridad.
Entre las vulnerabilidades de mayor impacto, se identifican 6 para las que se ofrece análisis técnico, con un impacto potencial significativo en la seguridad de los sistemas. De estas, 1 está siendo explotada activamente y 2 han sido divulgadas públicamente, lo que subraya la necesidad de una respuesta rápida y efectiva por parte de los usuarios y administradores de sistemas.
La clasificación de las vulnerabilidades según su descripción es la siguiente:
- 28 vulnerabilidades de elevación de privilegios.
- 20 vulnerabilidades de ejecución remota de código.
- 4 vulnerabilidades de divulgación de información.
- 3 vulnerabilidades de spoofing (suplantación).
- 3 vulnerabilidades de denegación de servicio.
Recursos afectados
- Windows PowerShell
- Windows Projected File System
- Windows Storage VSP Driver
- Windows Cloud Files Mini Filter Driver
- Microsoft Edge for iOS
- Windows Message Queuing
- Windows Resilient File System (ReFS)
- Windows Win32K - GRFX
- Windows Projected File System Filter Driver
- Windows DirectX
- Windows Client-Side Caching (CSC) Service
- Windows Defender Firewall Service
- Microsoft Brokering File System
- Windows Common Log File System Driver
- Windows Remote Access Connection Manager
- Windows Routing and Remote Access Service (RRAS)
- Azure Monitor Agent
- Microsoft Office Access
- Microsoft Office Excel
- Microsoft Office
- Microsoft Office Word
- Microsoft Office Outlook
- Windows Shell
- Windows Hyper-V
- Windows Camera Frame Server Monitor
- Windows Installer
- Application Information Services
- Microsoft Exchange Server
- Microsoft Graphics Component
- Copilot
- Microsoft Office SharePoint
- Storvsp.sys Driver
- Windows DWM Core Library
Análisis técnico
Los detalles de las vulnerabilidades explotadas son:
- CVE-2025-62221: Vulnerabilidad de Elevación de Privilegios del Controlador de Mini Filtro de Archivos en la Nube de Windows.
- Severidad: Importante
- CVSS: 7.8
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Divulgación: No
- Explotación: Detectada
- Explotación última versión: Detectada
- Soluciones alternativas: No
Los detalles de las vulnerabilidades divulgadas son:
- CVE-2025-64671: Vulnerabilidad de Ejecución Remota de Código en GitHub Copilot para Jetbrains.
- Severidad: Importante
- CVSS: 8.4
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Divulgación: Sí
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-54100: Vulnerabilidad de Ejecución Remota de Código en PowerShell.
- Severidad: Importante
- CVSS: 7.8
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Divulgación: Sí
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
Los detalles de las vulnerabilidades críticas son:
- CVE-2025-62554: Vulnerabilidad de Ejecución Remota de Código en Microsoft Office.
- Severidad: Crítica
- CVSS: 8.4
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-62557: Vulnerabilidad de Ejecución Remota de Código en Microsoft Office.
- Severidad: Crítica
- CVSS: 8.4
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
- CVE-2025-62562: Vulnerabilidad en Microsoft Office Outlook.
- Severidad: Crítica
- CVSS: 7.8
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Divulgación: No
- Explotación: No detectada
- Explotación última versión: Poco probable
- Soluciones alternativas: No
Mitigación / Solución
Para prevenir estas y otras vulnerabilidades, se recomienda aplicar las actualizaciones de seguridad más recientes de Microsoft en todos los sistemas afectados.