Autor: Seguridad CSIRT-CV

El 10 de junio de 2025, Adobe publicó una actualización de seguridad que aborda 254 vulnerabilidades en varios de sus productos. Entre las más críticas se encuentran fallos de ejecución remota de código en Adobe Acrobat Reader y Adobe Commerce, que podrían permitir a atacantes ejecutar código arbitrario en los sistemas afectados.

Análisis

Adobe ha identificado al menos 10 vulnerabilidades en Adobe Acrobat Reader para Windows y macOS.

Cuatro de estas vulnerabilidades son calificadas como críticas, con una puntuación CVSS de 7.8 sobre 10. La explotación exitosa de estas vulnerabilidades podría permitir la ejecución remota de código, filtración de memoria, eludir características de seguridad y causar denegación de servicio en la aplicación.

Se han identificado cinco vulnerabilidades distintas en Adobe Commerce y Magento Open Source.

La más grave, CVE-2025-47110, es una vulnerabilidad de tipo XSS reflejada con una puntuación CVSS de 9.1, que podría permitir la ejecución remota de código. Además, se han corregido fallas de autorización incorrecta (CVE-2025-43585, CVSS 8.2), que podrían permitir eludir características de seguridad.

Recursos afectados

Las actualizaciones de seguridad afectan a las siguientes versiones de los productos:

Adobe Acrobat Reader: Versiones 25.001.20428 y anteriores para Windows y macOS .
Adobe Commerce y Magento Open Source: Versiones 2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores, y 2.4.4-p13 y anteriores

El listado completo de productos afectados y correcciones puede consultarse en https://helpx.adobe.com/security.html

Recomendaciones

Adobe ha publicado versiones actualizadas de los productos que corrigen las vulnerabilidades. Se recomienda aplicarlas lo más pronto posible.

Referencias

• • https://www.securityweek.com/code-execution-flaws-haunt-adobe-acrobat-reader-adobe-commerce/
  • https://thehackernews.com/2025/06/adobe-releases-patch-fixing-254.html

Microsoft ha publicado su actualización de seguridad mensual para junio de 2025, que incluye 66 vulnerabilidades que afectan a una variedad de productos, incluyendo una vulnerabilidad de día cero activamente explotada.

Análisis

En la versión de este mes, Microsoft no ha observado ninguna explotación activa de las vulnerabilidades incluidas.
De las once entradas «críticas», nueve son vulnerabilidades de ejecución remota de código (RCE) en servicios y aplicaciones de Microsoft Windows, como el Servicio de Escritorio Remoto de Microsoft Windows, Windows Schannel (Canal Seguro), el servicio proxy KDC, Microsoft Office, Word y SharePoint Server. Hay dos vulnerabilidades de elevación de privilegios que afectan a Windows NetLogon y Power Automate.

Entre los fallos corregidos se destacan:

CVE-2025-33053 – Vulnerabilidad de ejecución remota de código en WebDAV: Una vulnerabilidad en el componente WebDAV de Windows que permite a un atacante ejecutar código de forma remota si se explota correctamente. Esta vulnerabilidad ya estaba siendo utilizada en ataques antes de la publicación del parche, lo que la clasifica como una vulnerabilidad de día cero.

CVE-2025-47966 – Exposición de información en Power Automate: Una vulnerabilidad que permite a un atacante no autorizado acceder a información sensible en Power Automate, lo que podría conducir a una escalada de privilegios.

Múltiples vulnerabilidades en Microsoft Office: Se corrigieron 17 vulnerabilidades en Microsoft Office y productos relacionados, incluyendo 4 que Microsoft considera más propensas a ser explotadas.

Además de estas, se corrigieron vulnerabilidades en otros productos como Microsoft Edge, .NET, y componentes de Windows.

Recursos afectados

Las actualizaciones cubren fallos, entre otros en:

• • • Microsoft Windows 10, 11 y Server
    • Microsoft Office y Microsoft 365 Apps
    • Microsoft Edge
    • Power Automate
    • .NET Framework
    • Windows WebDAV
    • Windows Remote Desktop
    • Windows Kernel
    • Microsoft Defender

Pueden consultar el listado completo de productos afectados y las vulnerabilidades en el boletín oficial de Microsoft: June 2025 Security Updates

Recomendaciones

• • Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias

• • https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2025-patch-tuesday-fixes-exploited-zero-day-66-flaws
  • https://blog.talosintelligence.com/microsoft-patch-tuesday-june-2025
  • https://cyberscoop.com/microsoft-patch-tuesday-june-2025
  • https://www.securityweek.com/microsoft-patch-tuesday-covers-webdav-flaw-marked-as-already-exploited
  • https://hackread.com/june-2025-patch-tuesday-microsoft-bugs-active-0-day
  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-junio-de-2025
  • https://msrc.microsoft.com/update-guide

Un modelo avanzado de inteligencia artificial ha descubierto una vulnerabilidad crítica de tipo zero-day en el kernel de Linux, identificada como CVE-2025-37899, que afecta a la implementación del protocolo Server Message Block (SMB) dentro del módulo ksmbd del kernel. Así lo ha publicado el medio de comunicación BankInfoSecurity.

La vulnerabilidad es un fallo de tipo use-after-free en el manejo de la instrucción ‘logoff’ del protocolo SMB, lo que puede permitir a un atacante remoto ejecutar código arbitrario con privilegios de kernel. Este tipo de fallo ocurre cuando un área de memoria es liberada pero sigue siendo accesible, lo que puede ser explotado para alterar el comportamiento del sistema o ejecutar código malicioso.

El hallazgo ha sido posible gracias a una investigación del experto Sean Heelan, quien utilizó el modelo de IA de frontera o3, desarrollado por OpenAI, para analizar aproximadamente 12.000 líneas de código fuente del módulo vulnerable. La inteligencia artificial fue capaz de razonar sobre rutas de ejecución complejas y detectar el error sin indicaciones específicas, lo que demuestra el potencial de estas tecnologías para identificar vulnerabilidades sofisticadas.

Este descubrimiento marca un hito importante en el uso de IA para la seguridad informática, ya que representa una de las primeras ocasiones en las que un modelo de lenguaje contribuye directamente a la identificación de una vulnerabilidad de seguridad crítica en software de código abierto.

Aunque la inteligencia artificial no sustituye la experiencia humana, sí demuestra ser una herramienta valiosa para mejorar la eficiencia y precisión en los procesos de auditoría de código y detección de fallos. Por ello, se recomienda a los administradores de sistemas Linux aplicar las actualizaciones de seguridad disponibles lo antes posible para mitigar cualquier riesgo.

El incidente subraya la creciente necesidad de integrar herramientas de inteligencia artificial en la ciberseguridad, no solo como ayuda reactiva, sino como un recurso proactivo para anticiparse a futuras amenazas.

Referencias

• https://www.bankinfosecurity.com/linux-zero-day-vulnerability-discovered-using-frontier-ai-a-28559
• https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/
• https://thecyberexpress.com/cve-2025-37899-zero-day-in-linux-smb-kernel/

El 28 de mayo de 2025, Google y Mozilla anunciaron nuevas actualizaciones de seguridad para sus navegadores Chrome y Firefox. Estas actualizaciones, correspondientes a Chrome 137 y Firefox 139, corrigen un total de 21 vulnerabilidades, tres de ellas clasificadas como de alta gravedad. Aunque no se ha informado de que estas fallas estén siendo explotadas activamente, se recomienda aplicar las actualizaciones de forma inmediata.

Análisis

Las actualizaciones publicadas por Google y Mozilla abordan varias vulnerabilidades críticas que podrían permitir a un atacante ejecutar código arbitrario, causar bloqueos o comprometer la seguridad del sistema si se combinan con otras fallas.

En Chrome 137, se corrigen 11 fallos de seguridad, de los cuales ocho fueron reportados por investigadores externos. Dos de ellos son considerados de alta severidad:

• • CVE-2025-5063: fallo use-after-free en Compositing.
  • CVE-2025-5280: escritura fuera de límites en el motor JavaScript V8.

Estas fallas pueden derivar en la ejecución de código arbitrario o una fuga del sandbox si se explotan junto con otros errores del sistema. Además, se solucionaron cinco fallos de severidad media en componentes como Background Fetch API, FileSystemAccess API, Messages, BFCache y libvpx, y uno de baja severidad en Tab Strip.

En Firefox 139, se solucionaron 10 vulnerabilidades, incluyendo un error double-free de alta severidad en la biblioteca libvpx, que podría generar corrupción de memoria y un fallo explotable. También se resolvieron seis fallas de severidad media relacionadas con ataques de fuga entre orígenes (cross-origin), ejecución de código local, XS-Leaks y corrupción de memoria.

Mozilla también publicó actualizaciones para las versiones de soporte extendido (ESR) y Thunderbird:

• • Firefox ESR 128.11: corrige ocho de estas vulnerabilidades.
  • Firefox ESR 115.24: corrige cuatro fallas.
  • Thunderbird 139: incluye parches para las diez vulnerabilidades.
  • Thunderbird 128.11: soluciona ocho de ellas.

 

Recursos afectados

• • Google Chrome, versiones inferiores a 137.0.7151.55/56 (Windows/macOS) y 137.0.7151.55 (Linux)
  • Mozilla Firefox, versiones inferiores a 139
  • Mozilla Thunderbird, versiones inferiores a 139

Recomendaciones

Actualizar Chrome a la versión 137.0.7151.55/56.
Actualizar Firefox a la versión 139 o a las versiones ESR correspondientes.
Actualizar Mozilla Thunderbird a la última versión disponible.

Referencias

https://www.securityweek.com/chrome-137-firefox-139-patch-high-severity-vulnerabilities

https://www.securityweek.com/chrome-136-update-patches-vulnerability-with-exploit-in-the-wild/

https://www.securityweek.com/chrome-136-firefox-138-patch-high-severity-vulnerabilities

https://www.securityweek.com/chrome-135-firefox-137-updates-patch-severe-vulnerabilities/