Microsoft ha publicado un parche de emergencia fuera de ciclo para corregir una vulnerabilidad de ejecución remota de código (RCE) en Windows Server Update Services (WSUS). Identificada como CVE-2025-59287, esta falla permite la ejecución arbitraria de código mediante la deserialización insegura de datos no confiables en un mecanismo heredado, potencialmente comprometiendo la confidencialidad, integridad y disponibilidad del sistema afectado.
CVE y severidad
CVE-2025-59287: vulnerabilidad crítica RCE derivada de deserialización insegura (CWE-502) en WSUS con un puntaje base CVSS 3.1 de 9.8. No requiere privilegios ni interacción del usuario; el exploit puede realizarse remotamente con baja complejidad. Microsoft elevó su puntuación temporal a 8.8 tras la publicación de código PoC, aumentando la probabilidad de explotación.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| Microsoft | Windows Server Update Services | Servicio WSUS | No especificadas (todos los WSUS configurados) | Windows Server |
Solución
Aplicar el parche disponible desde el 23 de octubre de 2025 a través de Windows Update, Microsoft Update o Microsoft Update Catalog e implementar el reinicio del servidor tras la actualización.
Recomendaciones
Priorizar la instalación inmediata del parche para mitigar riesgos críticos; Windows: preparar reinicio del servidor post-instalación y validar el estado del servicio WSUS tras la actualización.
Workarounds
Si no es posible aplicar el parche de inmediato, deshabilitar el rol de servidor WSUS para detener actualizaciones cliente o bloquear el tráfico entrante en los puertos 8530 y 8531 mediante firewall de host para neutralizar el servicio temporalmente.
Referencias