Author: Seguridad CSIRT-CV

Recursos afectats

• • Microsoft Exchange Server 2016 (entorns híbrids)
  • Microsoft Exchange Server 2019 (entorns híbrids)
  • Microsoft Exchange Server Subscription Edition (versions inicials que integren funcionalitats híbrides)
  • Servicis relacionats amb Exchange en línia i infraestructures híbrides d’autenticació.

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. Revisar i aplicar les directrius publicades en l’anunci de Microsoft, del 18 d’abril de 2025, sobre seguretat en desplegaments híbrids.
2. Instal·lar el hotfix d’abril de 2025 (o posterior) en tots els servidors Exchange on‑premises.
3. Desplegar l’aplicació híbrida dedicada (dedicated hybrid app) segons les instruccions oficials.
4. Si ja no utilitzes l’entorn híbrid o OAuth entre Exchange local i Exchange en línia, executa el procés de «Service Principal Clean‑Up» per a restablir les keyCredentials.
5. Executar el Microsoft Exchange Health Checker després d’aplicar les mesures per a verificar l’estat de l’entorn.
6. Desconnectar servidors Exchange i SharePoint que ja no reben suport oficial o estiguen a la fi de vida (EOL/EOS) d’accés públic a Internet.
7. Considerar la migració a Exchange en línia o l’actualització a Exchange Server Subscription Edition per a entorns heretats en suport limitat.

Referències

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
• https://www.cisa.gov/news-events/alerts/2025/08/06/microsoft-releases-guidance-high-severity-vulnerability-cve-2025-53786-hybrid-exchange-deployments

Les actualitzacions de seguretat de dimarts de correccions de Microsoft de juliol de 2025 aborden 130 vulnerabilitats en Windows i components de Windows, Office i components d’Office, .NET i Visual Studio, Azure, Teams, Hyper-V, Windows BitLocker, Microsoft Edge (basat en Chromium) i el servici criptogràfic de Windows.

Anàlisi

Les vulnerabilitats de severitat crítiques són dels tipus següents:

• • La vulnerabilitat CVE-2025-49719 (puntuació CVSS de 7,5) és una fallada de divulgació d’informació en Microsoft SQL Server que permet atacants remots no autenticats accedir a memòria no inicialitzada a causa d’una validació d’entrada incorrecta.
  • La vulnerabilitat CVE-2025-47981 (puntuació CVSS de 9,8) és un problema RCE crític i wormable en Windows SPNEGO NEGOEX. Permet als atacants remots executar codi a través d’un missatge maliciós, sense necessitat d’interacció per part de l’usuari. La fallada implica un desbordament de memòria (buffer) basat en monticle (heap) i s’executa amb privilegis elevats. Microsoft espera una explotació activa en un termini de 30 dies i insta una ràpida aplicació de actualització.
  • La vulnerabilitat CVE-2025-49695 (puntuació CVSS de 8,8) és una vulnerabilitat RCE de Microsoft Office explotable a través del panell de vista prèvia. Els usuaris de Mac continuen desprotegits, ja que les correccions per a Office LTSC 2021 i 2024 encara no estan disponibles.

La informació detallada per a la resta de vulnerabilitats es pot consultar en les referències.

Recursos afectats

• • SQL Server
  • Windows Components
  • Office and Office Components
  • .NET and Visual Studio
  • Windows BitLocker
  • Microsoft Edge

Recomanacions

El fabricant recomana que el client visite el portal de suport i aplique les correccions de manera prioritària. A més, Microsoft recomana actualitzar SQL Server i instal·lar OLE DB Driver 18 o 19 per a solucionar el problema; i desactivar el panell de vista prèvia fins que Microsoft resolga estos problemes.

Referències

• • • https://thehackernews.com/2025/07/microsoft-patches-130-vulnerabilities.html
    • https://securityaffairs.com/179738/security/microsoft-patch-tuesday-security-updates-for-july-2025-fixed-a-zero-day.html

Més de 600.000 llocs web basats en WordPress es troben en risc per una vulnerabilitat crítica en el plugin Forminator, segons ha informat el mitjà de comunicació Wordfence.

La fallada de seguretat, identificada com a CVE-2024-28890, permet que atacants no autenticats eliminen fitxers arbitraris del servidor mitjançant una explotació en la funcionalitat de pujada d’arxius del plugin. Això pot derivar en l’eliminació de fitxers crítics del sistema, com ara el wp-config.php, fet que facilita la presa de control total del lloc web afectat.

Segons ha detallat Wordfence, els investigadors van descobrir la vulnerabilitat el passat 26 de juny de 2025 i es va solucionar l’1 de juliol amb la versió 1.29.3 de Forminator. Aquest plugin, desenvolupat per WPMU DEV, s’utilitza àmpliament per a crear formularis, enquestes i qüestionaris en pàgines WordPress. En la seua versió vulnerable, 1.29.2 i anteriors, els mecanismes de seguretat no bloquejaven adequadament intents de suprimir fitxers fora del directori autoritzat, la qual cosa permetia abusar del mecanisme de pujada per a executar accions destructives.

El plugin comptava, en el moment de la divulgació, amb més de 600.000 instal·lacions actives, encara que altres fonts com BleepingComputer i SecurityWeek indicaven xifres una mica inferiors —prop de 400.000 webs—, possiblement per la diferència entre instal·lacions actives i llocs encara no actualitzats.

La fallada es troba en l’endpoint Forminator\Pro\Filesystem::unlink_file, el qual no disposava de comprovacions suficients per a evitar manipulacions de la ruta dels fitxers (path traversal). Un cop eliminat un fitxer essencial, els atacants poden reiniciar el procés d’instal·lació de WordPress i aconseguir privilegis administratius sense necessitat d’autenticació.

Des de Wordfence també han confirmat que no s’han detectat intents massius d’explotació fins al moment de la publicació de l’informe, tot i que es considera molt probable que es produïsquen atacs reals donat l’elevat nombre de webs vulnerables.

Els experts recomanen actualitzar immediatament a la versió segura del plugin (Forminator 1.29.3 o superior) i revisar els registres del sistema per a detectar accessos o eliminacions sospitoses.

Recursos vulnerables

• • Totes les versions fins a la 1.29.2

Versió estable

• • 1.29.3 i posteriors

Referència:

• • • https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
    • https://www.wordfence.com/blog/2025/07/600000-wordpress-sites-affected-by-arbitrary-file-deletion-vulnerability-in-forminator-wordpress-plugin/
    • https://www.bleepingcomputer.com/news/security/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks/
    • https://www.securityweek.com/forminator-wordpress-plugin-vulnerability-exposes-400000-websites-to-takeover/

Una greu vulnerabilitat d’execució remota de codi (RCE) identificada com CVE-2025-6218 ha sigut descoberta en versions anteriors de WinRAR, un dels programes més utilitzats per a la compressió i descompressió d’arxius. 

Esta fallada permet els atacants remots executar codi maliciós si aconseguixen que la persona usuària interactue amb un arxiu especialment manipulat. 

La vulnerabilitat va ser corregida en la versió WinRAR 7.12 beta 1, publicada el 10 de juny de 2025, per la qual cosa es recomana encaridament actualitzar-lo de manera immediata.

Anàlisi

El problema radica en com WinRAR maneja les rutes d’arxiu dins d’arxius comprimits, la qual cosa permet un atacant realitzar traversal de directoris (salt entre directoris no previstos).

Mitjançant un arxiu comprimit especialment dissenyat, un atacant pot executar codi arbitrari amb els privilegis de l’usuari actual. És important ressaltar que es necessita interacció de la persona usuària, siga per obrir un arxiu maliciós o per visitar una pàgina web que el continga.

Recursos afectats

• • WinRAR versió 7.11 i anteriors.

Recomanacions

• • Actualitzacó WinRAR a la versió 7.12

Referències

• • • https://www.helpnetsecurity.com/2025/06/24/high-risk-winrar-rce-flaw-patched-update-quickly-cve-2025-6218/
    • https://www.zerodayinitiative.com/advisories/ZDI-25-409/
    • https://www.win-rar.com/singlenewsview.html?&L=0