Microsoft corrigió una vulnerabilidad crítica de ejecución remota de código (RCE) en su Remote Desktop Client que permite a atacantes ejecutar código malicioso mediante un error use-after-free. Clasificada como CVE-2025-58718, afecta funcionalidades clave de acceso remoto y requiere la interacción del usuario para que un servidor RDP malicioso ejecute código arbitario, comprometiendo confidencialidad, integridad y disponibilidad del sistema.
CVE y severidad
| CVE | CVSS Base Score | Vector de ataque | Complejidad de ataque | Privilegios requeridos | Interacción usuario | Impacto C/I/A | Explotación conocida |
|---|---|---|---|---|---|---|---|
| CVE-2025-58718 | 8.8 | Red | Baja | Ninguno | Requerida | Alta/Alta/Alta | No demostrado |
Productos afectados
El Remote Desktop Client de Microsoft en plataformas Windows es el componente afectado por esta vulnerabilidad.
Solución
Aplicar las actualizaciones de seguridad correspondientes a Patch Tuesday de octubre 2025 de Microsoft.
Recomendaciones
Priorizar la instalación inmediata del parche; mantener las actualizaciones automáticas activadas y evitar conexiones a servidores RDP no confiables. Para organizaciones, segmentar redes y reforzar la capacitación contra ataques de phishing.