Microsoft lanzó en octubre de 2025 una actualización de seguridad para Windows Server Update Services (WSUS) que corrige una vulnerabilidad crítica, pero que ha roto inadvertidamente la funcionalidad de Hotpatch en ciertos sistemas Windows Server 2025. La falla, identificada como CVE-2025-59287, permite la ejecución remota de código, afectando la infraestructura de actualización empresarial y poniendo en riesgo la confidencialidad, integridad y disponibilidad. Esta actualización afectó principalmente a dispositivos físicos y virtuales inscritos en Hotpatch, impidiendo parches sin reinicio en las máquinas comprometidas.
CVE y severidad
| CVE | Severidad | Componente afectado | Impacto |
|---|---|---|---|
| CVE-2025-59287 | Crítica | Windows Server Update Services (WSUS) | Ejecuta código remotamente |
Productos afectados
| Fabricante | Producto | Versiones afectadas | Plataformas/SO |
|---|---|---|---|
| Microsoft | Windows Server Update Services (WSUS) | Windows Server 2025 (edición más reciente) | Windows Server 2025 (físico y virtual) |
Solución
Aplicar la actualización KB5070893 sobre la base KB5066835 para reparar la funcionalidad Hotpatch y mitigar CVE-2025-59287.
Recomendaciones
Priorice la aplicación inmediata de los parches disponibles y monitorice el historial de actualizaciones mediante los registros de Windows Update para confirmar el estado en cada sistema; para dispositivos afectados, considere reinicios planificados por los parches estándar. Windows: los sistemas Hotpatch deben permanecer fuera del track de parches sin reinicio hasta febrero de 2026.
Workarounds
Los dispositivos que descargaron pero no instalaron la actualización problemática pueden evitar interrupciones pausando y reanudando las actualizaciones desde Configuración > Windows Update para forzar el escaneo y descargar la versión corregida sin perder elegibilidad para Hotpatch.