Instituto Nacional de ciberseguridad. Sección Incibe

Cuatro nuevos avisos de seguridad

Índice

  • Actualizaciones de seguridad de Microsoft de mayo de 2025
  • Múltiples vulnerabilidades en Endpoint Manager Mobile (EPMM) de Ivanti
  • Múltiples vulnerabilidades en productos Fortinet
  • Múltiples vulnerabilidades en productos I-O Data Device

Actualizaciones de seguridad de Microsoft de mayo de 2025

Fecha14/05/2025
Importancia5 - Crítica
Recursos Afectados
  • .NET, Visual Studio, and Build Tools for Visual Studio
  • Active Directory Certificate Services (AD CS)
  • Azure
  • Azure Automation
  • Azure DevOps
  • Azure File Sync
  • Azure Storage Resource Provider
  • Microsoft Brokering File System
  • Microsoft Dataverse
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Edge (Chromium-based)
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office Outlook
  • Microsoft Office PowerPoint
  • Microsoft Office SharePoint
  • Microsoft PC Manager
  • Microsoft Power Apps
  • Microsoft Scripting Engine
  • Remote Desktop Gateway Service
  • Role: Windows Hyper-V
  • Universal Print Management Service
  • UrlMon
  • Visual Studio
  • Visual Studio Code
  • Web Threat Defense (WTD.sys)
  • Windows Ancillary Function Driver for WinSock
  • Windows Common Log File System Driver
  • Windows DWM
  • Windows Deployment Services
  • Windows Drivers
  • Windows File Server
  • Windows Fundamentals
  • Windows Hardware Lab Kit
  • Windows Installer
  • Windows Kernel
  • Windows LDAP - Lightweight Directory Access Protocol
  • Windows Media
  • Windows NTFS
  • Windows Remote Desktop
  • Windows Routing and Remote Access Service (RRAS)
  • Windows SMB
  • Windows Secure Kernel Mode
  • Windows Trusted Runtime Interface Driver
  • Windows Virtual Machine Bus
  • Windows Win32K - GRFX
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 13 de mayo, consta de 78 vulnerabilidades (con CVE asignado), calificadas 5 como críticas, 50 como altas y 23 como medias.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

Las vulnerabilidades de severidad crítica publicadas tienen asignados los siguientes identificadores y descripciones:

  • CVE-2025-29813: elevación de privilegios en Azure DevOps Server;
  • CVE-2025-29827: elevación de privilegios en Azure Automation;
  • CVE-2025-29972: suplantación en Azure Storage Resource Provider;
  • CVE-2025-30387: divulgación de información en Document Intelligence Studio On-Prem;
  • CVE-2025-47733: divulgación de información en Microsoft Power Apps.

Los códigos CVE asignados al resto de vulnerabilidades pueden consultarse en las referencias.

Las vulnerabilidades CVE-2025-30397, CVE-2025-30400, CVE-2025-32701, CVE-2025-32706, CVE-2025-32709 podrían estar siendo explotadas.


Múltiples vulnerabilidades en Endpoint Manager Mobile (EPMM) de Ivanti

Fecha14/05/2025
Importancia4 - Alta
Recursos Afectados

Ivanti Endpoint Manager Mobile, versiones:

  • 11.12.0.4 y anteriores;
  • 12.3.0.1 y anteriores;
  • 12.4.0.1 y anteriores;
  • 12.5.0.0 y anteriores.
Descripción

Ivanti en su producto Endpoint Manager Mobile (EPMM) tiene 2 vulnerabilidades, una de severidad alta y otra media que, en caso de ser explotadas de forma combinada, podrían producir una ejecución no autenticada de código en remoto.

El fabricante informa que estas vulnerabilidades están siendo explotadas en un número reducido de usuarios.

Solución

Actualizar a las siguientes versiones:

  • 11.12.0.5;
  • 12.3.0.2;
  • 12.4.0.2;
  • 12.5.0.1.

Debido a que se conocen casos de que esta vulnerabilidad está siendo explotada, se recomienda actualizar los productos lo antes posible.

Detalle

Endpoint Manager Mobile (EPMM) tiene dos vulnerabilidades en las librerías open-source que emplea y que afectan al producto de la siguiente forma:

  • CVE-2025-4428, de severidad alta. Vulnerabilidad de ejecución de código en remoto, permite a atacantes ejecutar código arbitrario en el sistema afectado.
  • CVE-2025-4427, de severidad media. Vulnerabilidad de evitación de autenticación, permite a los atacantes acceder a recursos protegidos sin las debidas credenciales.

El problema afecta únicamente al producto EPMM. No se ven afectados por este problema Ivanti Neurons para MDM, la solución de gestión de endpoints unificada basada en la nube de Ivanti, Ivanti Sentry, ni ningún otro producto Ivanti.


Múltiples vulnerabilidades en productos Fortinet

Fecha14/05/2025
Importancia5 - Crítica
Recursos Afectados

La vulnerabilidad con identificador CVE-2025-32756 afecta a los siguientes productos y versiones:

  • FortiCamera:
    • versiones comprendidas entre la 2.1.0 hasta la 2.1.3;
    • 2.0, todas las versiones;
    • 1.1, todas las versiones.
  • FortiMail:
    • versiones comprendidas entre la 7.6.0 hasta la 7.6.2;
    • versiones comprendidas entre la 7.4.0 hasta la 7.4.4;
    • versiones comprendidas entre la 7.2.0 hasta la 7.2.7;
    • versiones comprendidas entre la 7.0.0 hasta la 7.0.8.
  • FortiNDR:
    • versión 7.6.0;
    • versiones comprendidas entre la 7.4.0 hasta la 7.4.7;
    • versiones comprendidas entre la 7.2.0 hasta la 7.2.4;
    • 7.1 todas las versiones;
    • versiones comprendidas entre la 7.0.0 hasta la 7.0.6;
    • 1.5 todas las versiones;
    • 1.4 todas las versiones;
    • 1.3 todas las versiones;
    • 1.2 todas las versiones;
    • 1.1 todas las versiones.
  • FortiRecorder:
    • versiones comprendidas entre la 7.2.0 hasta la 7.2.3;
    • versiones comprendidas entre la 7.0.0 hasta la 7.0.5;
    • versiones comprendidas entre la 6.4.0 hasta la 6.4.5.
  • FortiVoice:
    • versión 7.2.0;
    • versiones comprendidas entre la 7.0.0 hasta la 7.0.6.
    • versiones comprendidas entre la 6.4.0 hasta la 6.4.10.

La vulnerabilidad con identificador CVE-2025-22252 afecta a los siguientes productos y versiones:

  • FortiOS :
    • versión 7.6.0;
    • versiones comprendidas entre la 7.4.0 hasta la 7.4.6.
  • FortiProxy:
    • versiones comprendidas entre la 7.6.0 hasta la 7.6.1.
  • FortiSwitchManager:
    • versión 7.2.5.
Descripción

El equipo de seguridad de productos de Fortinet ha reportado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios, así como acceder al dispositivo como un administrador válido a través de un bypass de autenticación.

Fortinet ha observado que la vulnerabilidad CVE-2025-32756 se está explotando en la actualidad en FortiVoice.

Solución

Fortinet recomienda actualizar los productos afectados a las siguientes versiones:

  • FortiCamera 2.1: actualizar a la versión 2.1.4 o superior;
  • FortiMail 7.6: actualizar a la versión 7.6.3 o superior;
  • FortiMail 7.4: actualizar a la versión 7.4.5 o superior;
  • FortiMail 7.2: actualizar a la versión 7.2.8 o superior;
  • FortiMail 7.0: actualizar a la versión 7.0.9 o superior;
  • FortiNDR 7.6: actualizar a la versión 7.6.1 o superior;
  • FortiNDR 7.4: actualizar a la versión 7.4.8 o superior;
  • FortiNDR 7.2: actualizar a la versión 7.2.5 o superior;
  • FortiNDR 7.0: actualizar a la versión 7.0.7 o superior;
  • FortiRecorder 7.2: actualizar a la versión 7.2.4 o superior;
  • FortiRecorder 7.0: actualizar a la versión 7.0.6 o superior;
  • FortiRecorder 6.4: actualizar a la versión 6.4.6 o superior;
  • FortiVoice 7.2: actualizar a la versión 7.2.1 o superior;
  • FortiVoice 7.0: actualizar a la versión 7.0.7 o superior;
  • FortiVoice 6.4: actualizar a la versión 6.4.11 o superior;
  • FortiOS 7.6: actualizar a la versión 7.6.1 o superior;
  • FortiOS 7.4: actualizar a la versión 7.4.7 o superior;
  • FortiProxy 7.6: actualizar a la versión 7.6.2 o superior;
  • FortiSwitchManager 7.2: actualizar a la versión 7.2.6 o superior.
Detalle
  • Vulnerabilidad de desbordamiento de pila, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario o comandos a través de peticiones HTTP. Fortinet ha observado que esta vulnerabilidad ha sido explotada en FortiVoice, permitiendo a un atacante examinar la red del dispositivo, borrar los registros de fallos del sistema, y registrar credenciales del sistema. Se ha asignado el identificador CVE-2025-32756 para esta vulnerabilidad.
  • Vulnerabilidad de falta de autenticación para una función crítica en FortiOS, FortiProxy y FortiSwitchManager TACACS+ configurado para utilizar un servidor TACACS+ remoto para la autenticación, que a su vez ha sido configurado para utilizar autenticación ASCII. La explotación de esta vulnerabilidad puede permitir a un atacante con conocimiento de una cuenta de administrador existente acceder al dispositivo como un administrador válido a través de un bypass de autenticación. Se ha asignado el identificador CVE-2025-22252 para esta vulnerabilidad.

Múltiples vulnerabilidades en productos I-O Data Device

Fecha14/05/2025
Importancia5 - Crítica
Recursos Afectados

El firmware de la serie HDL-T Ver.1.21 y anteriores está afectado.

El listado específico de los productos afectados es el siguiente:

  • HDL-TC1
  • HDL-TC500
  • HDL-T1NV
  • HDL-T1WH
  • HDL-T2NV
  • HDL-T2WH
  • HDL-T3NV
  • HDL-T3WH
Descripción

Chuya Hayakawa y Ryo Kamino de 00One, Inc, han reportado 2 vulnerabilidades de severidades crítica y media, cuya explotación podría permitir a un atacante remoto no autenticado ejecutar comandos arbitrario del sistema operativo y cambiar la configuración del producto afectado.

Solución

El desarrollador ha publicado la versión 1.22 que soluciona las vulnerabilidades reportadas.

Detalle

El disco duro conectado a la red 'HDL-T Series' proporcionado por I-O Data Device, INC., podría permitir a un atacante remoto no autenticado ejecutar un comando arbitrario del sistema operativo cuando está activada la función 'Remote Link3'. Se ha asignado el identificador CVE-2025-32002 para esta vulnerabilidad.

Se ha asignado el identificador CVE-2025-32738 para la vulnerabilidad de severidad media.