Microsoft lanzó el último conjunto de actualizaciones acumulativas de Patch Tuesday para 2025 el 9 de diciembre, corrigiendo 56 vulnerabilidades en Windows, Office, Exchange Server y otros componentes. Entre ellas destacan tres fallas zero-day; dos de ejecución remota de código con divulgación pública y una elevación de privilegios explotada activamente en Windows Cloud Files Mini Filter Driver. Los defectos críticos incluyen problemas en Microsoft Office que permiten la ejecución arbitraria a través de documentos maliciosos.
CVE y severidad
| CVE ID | Componente | Tipo de vulnerabilidad | Severidad | Probabilidad de explotación |
|---|---|---|---|---|
| CVE-2025-62554 | Microsoft Office | Type Confusion RCE | Crítica | Menos probable |
| CVE-2025-62557 | Microsoft Office | Use-after-Free RCE | Crítica | Menos probable |
| CVE-2025-62221 | Windows Cloud Files Mini Filter Driver | Use-after-Free EoP | Importante | Detectado (explotación activa) |
| CVE-2025-64671 | GitHub Copilot para JetBrains | Inyección de comandos RCE local | Importante | Menos probable |
| CVE-2025-54100 | PowerShell | Inyección de comandos RCE | Importante | Menos probable |
| CVE-2025-62454 | Windows Cloud Files Mini Filter Driver | Heap Buffer Overflow EoP | Importante | Más probable |
| CVE-2025-62456 | Windows ReFS | Heap Buffer Overflow RCE | Importante | Poco probable |
| CVE-2025-62549 | Windows RRAS | Untrusted Pointer RCE | Importante | Menos probable |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| Microsoft | Windows 10/11/Server | Cloud Files Mini Filter Driver, Win32k, RRAS, ReFS, Hyper-V, Azure Monitor Agent, PowerShell | No especificadas (generales) | Windows 10, Windows 11, Windows Server |
| Microsoft | Office (Excel, Word, Outlook, Access) | No especificado (varios módulos internos) | No especificadas (varias versiones actuales) | Windows, posiblemente Office Online/365 según contexto no descrito explícitamente |
| Terceros / Microsoft integración | GitHub Copilot para JetBrains (plugin) | Intérprete de comandos (command injection) | No especificadas (versión actual) | IDE JetBrains (multiplataforma) |
Solución
Aplicar las actualizaciones oficiales disponibles vía Windows Update o Microsoft Update Catalog correspondientes a diciembre de 2025.
Recomendaciones
Priorizar la aplicación inmediata de estas actualizaciones especialmente para las vulnerabilidades zero-day y aquellas etiquetadas como «Más probable» o con explotación detectada. Windows: Administrar parches mediante WSUS o sistemas automatizados. Segmentar redes para mitigar movimientos laterales ocasionados por elevaciones de privilegio.
Referencias
-
- Microsoft December 2025 Patch Tuesday – Cyber Security News
- NVD – CVE-2025-62554
- MITRE – CVE-2025-62554
- NVD – CVE-2025-62557
- MITRE – CVE-2025-62557
- NVD – CVE-2025-62221
- MITRE – CVE-2025-62221
- NVD – CVE-2025-64671
- MITRE – CVE-2025-64671
- NVD – CVE-2025-54100
- MITRE – CVE-2025-54100
- NVD – CVE-2025-62454
- NVD – CVE-2025-62456
- NVD – CVE-2025-62549