Autor: Seguridad CSIRT-CV

Las actualizaciones de seguridad del martes de parches de Microsoft de julio de 2025 abordan 130 vulnerabilidades en Windows y componentes de Windows, Office y componentes de Office, .NET y Visual Studio, Azure, Teams, Hyper-V, Windows BitLocker, Microsoft Edge (basado en Chromium) y el servicio criptográfico de Windows.

Análisis

Las vulnerabilidades de severidad criticas son de los siguientes tipos:

• • La vulnerabilidad CVE-2025-49719 (puntuación CVSS de 7,5) es un fallo de divulgación de información en Microsoft SQL Server que permite a atacantes remotos no autenticados acceder a memoria no inicializada debido a una validación de entrada incorrecta.
  • La vulnerabilidad CVE-2025-47981 (puntuación CVSS de 9,8) es un problema RCE crítico y wormable en Windows SPNEGO NEGOEX. Permite a los atacantes remotos ejecutar código a través de un mensaje malicioso, sin necesidad de interacción por parte del usuario. El fallo implica un desbordamiento de búfer basado en heap y se ejecuta con privilegios elevados. Microsoft espera una explotación activa en un plazo de 30 días e insta a una rápida aplicación de parches.
  • La vulnerabilidad CVE-2025-49695 (puntuación CVSS de 8,8) es una vulnerabilidad RCE de Microsoft Office explotable a través del panel de vista previa. Los usuarios de Mac siguen desprotegidos, ya que los parches para Office LTSC 2021 y 2024 aún no están disponibles.

La información detallada para el resto de vulnerabilidades, puede consultarse en las referencias.

Recursos afectados

• • SQL Server
  • Windows Components
  • Office and Office Components
  • .NET and Visual Studio
  • Windows BitLocker
  • Microsoft Edge

Recomendaciones

El fabricante recomienda que el cliente visite el portal de soporte y aplique los parches de forma prioritaria. Además, Microsoft recomienda actualizar SQL Server e instalar OLE DB Driver 18 o 19 para solucionar el problema; y desactivar el panel de vista previa hasta que Microsoft resuelva estos problemas.

Referencias

• • • https://thehackernews.com/2025/07/microsoft-patches-130-vulnerabilities.html
    • https://securityaffairs.com/179738/security/microsoft-patch-tuesday-security-updates-for-july-2025-fixed-a-zero-day.html

Más de 600.000 sitios web construidos con WordPress están en riesgo debido a una vulnerabilidad crítica en el plugin Forminator, según ha informado el medio de comunicación Wordfence.

El fallo de seguridad, identificado como CVE-2024-28890, permite a atacantes no autenticados eliminar archivos arbitrarios del servidor mediante una explotación en la funcionalidad de subida de archivos del plugin. Esto puede derivar en la eliminación de archivos críticos del sistema, incluyendo el propio wp-config.php, lo que facilita la toma de control total del sitio afectado.El problema radica en cómo WinRAR maneja las rutas de archivo dentro de archivos comprimidos, lo que permite a un atacante realizar traversal de directorios (salto entre directorios no previstos).

Según ha detallado Wordfence, los investigadores descubrieron el fallo el pasado 26 de junio de 2025, y fue parcheado el 1 de julio en la versión 1.29.3 de Forminator. El plugin, desarrollado por WPMU DEV, se utiliza ampliamente para crear formularios, encuestas y cuestionarios en sitios WordPress. En su versión vulnerable, 1.29.2 y anteriores, los controles de seguridad no bloqueaban adecuadamente los intentos de borrar archivos fuera del directorio autorizado, lo que permitía a los atacantes abusar del mecanismo de subida de archivos para ejecutar acciones destructivas.

El plugin contaba en el momento de la divulgación con más de 600.000 instalaciones activas, aunque otras fuentes como BleepingComputer y SecurityWeek señalan cifras algo inferiores —cerca de 400.000 sitios—, lo que podría reflejar la diferencia entre instalaciones únicas y actualizaciones pendientes.

El fallo reside en el endpoint Forminator\Pro\Filesystem::unlink_file, que carecía de comprobaciones adecuadas para evitar rutas de archivos manipuladas (path traversal). Una vez eliminado un archivo esencial, los atacantes pueden reiniciar el proceso de instalación de WordPress y obtener privilegios administrativos sin necesidad de autenticación.

Wordfence, que forma parte de la plataforma de seguridad Defiant, también ha confirmado que no se han observado intentos masivos de explotación en el momento de la publicación del informe, aunque se considera que la probabilidad de ataques reales es alta dado el número de sitios vulnerables.

Los expertos recomiendan actualizar de inmediato a la versión segura del plugin (Forminator 1.29.3 o superior) y revisar los registros del sistema en busca de accesos o eliminaciones sospechosas.

Recursos afectados

• • Todas las versiones hasta 1.29.2 inclusive

Recomendaciones

• • 1.29.3 y posteriores

Referencias

• • • https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
    • https://www.wordfence.com/blog/2025/07/600000-wordpress-sites-affected-by-arbitrary-file-deletion-vulnerability-in-forminator-wordpress-plugin/
    • https://www.bleepingcomputer.com/news/security/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks/
    • https://www.securityweek.com/forminator-wordpress-plugin-vulnerability-exposes-400000-websites-to-takeover/

Una grave vulnerabilidad de ejecución remota de código (RCE) identificada como CVE-2025-6218 ha sido descubierta en versiones anteriores de WinRAR, uno de los programas más utilizados para la compresión y descompresión de archivos. 

Esta falla permite a atacantes remotos ejecutar código malicioso si logran que el usuario interactúe con un archivo especialmente manipulado. La vulnerabilidad fue corregida en la versión WinRAR 7.12 beta 1, publicada el 10 de junio de 2025, por lo que se recomienda encarecidamente actualizar de inmediato.

El problema radica en cómo WinRAR maneja las rutas de archivo dentro de archivos comprimidos, lo que permite a un atacante realizar traversal de directorios (salto entre directorios no previstos).

Mediante un archivo comprimido especialmente diseñado, un atacante puede ejecutar código arbitrario con los privilegios del usuario actual. Es importante resaltar que se requiere interacción del usuario, ya sea abriendo un archivo malicioso o visitando una página web que lo contenga

Análisis

El problema radica en cómo WinRAR maneja las rutas de archivo dentro de archivos comprimidos, lo que permite a un atacante realizar traversal de directorios (salto entre directorios no previstos).

Mediante un archivo comprimido especialmente diseñado, un atacante puede ejecutar código arbitrario con los privilegios del usuario actual. Es importante resaltar que se requiere interacción del usuario, ya sea abriendo un archivo malicioso o visitando una página web que lo contenga

 

Recursos afectados

• • WinRAR versión 7.11 y anteriores.

Recomendaciones

• • Actualizar WinRAR a la versión 7.12

Referencias

• • • https://www.helpnetsecurity.com/2025/06/24/high-risk-winrar-rce-flaw-patched-update-quickly-cve-2025-6218/
    • https://www.zerodayinitiative.com/advisories/ZDI-25-409/
    • https://www.win-rar.com/singlenewsview.html?&L=0

Se ha descubierto una vulnerabilidad crítica en el instalador de Notepad++ versión 8.8.1, publicada el 5 de mayo de 2025, que permite a atacantes locales escalar privilegios hasta obtener control completo del sistema. 

Esta falla, identificada como CVE-2025-49144, se basa en una técnica conocida como binary planting, con una prueba de concepto (PoC) disponible públicamente, lo que incrementa su gravedad y riesgo de explotación masiva.

Análisis

La vulnerabilidad radica en una ruta de búsqueda de ejecutables no controlada dentro del instalador de Notepad++. Durante la ejecución del instalador, se buscan dependencias ejecutables en el directorio actual de trabajo, sin verificar adecuadamente su autenticidad o procedencia. Este comportamiento permite que un atacante coloque archivos maliciosos, como una versión comprometida de regsvr32.exe, en el mismo directorio que el instalador.

Al ejecutar el instalador, el sistema cargará automáticamente estos binarios maliciosos con privilegios de SISTEMA, otorgando al atacante control total sobre el equipo. Este tipo de ataque es posible gracias al orden de búsqueda de DLL por defecto en sistemas Windows y requiere una interacción mínima por parte del usuario, lo que facilita su ejecución exitosa.

La prueba de concepto publicada demuestra de forma clara el proceso de explotación mediante registros de Process Monitor y evidencia en video, alertando sobre el potencial de abuso a gran escala.

Recursos afectados

• • Versión vulnerable: 8.8.1

Recomendaciones

• • Actualizar a Notepad++ versión 8.8.2.

Referencias

• • • https://cybersecuritynews.com/notepad-vulnerability/#google_vignette
    • https://notepad-plus-plus.org/
    • https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-9vx8-v79m-6m24
    •