Dos nuevos avisos de seguridad
Índice
- Actualizaciones de seguridad de Microsoft de julio de 2025
- Inyección SQL en FortiWeb de Fortinet
Actualizaciones de seguridad de Microsoft de julio de 2025
- Azure Monitor Agent
- Capability Access Management Service (camsvc)
- HID class driver
- Kernel Streaming WOW Thunk Service Driver
- Microsoft Brokering File System
- Microsoft Edge (Chromium-based)
- Microsoft Graphics Component
- Microsoft Input Method Editor (IME)
- Microsoft Intune
- Microsoft MPEG-2 Video Extension
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office PowerPoint
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft PC Manager
- Microsoft Teams
- Microsoft Windows QoS scheduler
- Microsoft Windows Search Component
- Office Developer Platform
- Remote Desktop Client
- Role: Windows Hyper-V
- SQL Server
- Service Fabric
- Storage Port Driver
- Universal Print Management Service
- Virtual Hard Disk (VHDX)
- Visual Studio
- Visual Studio Code - Python extension
- Windows Ancillary Function Driver for WinSock
- Windows AppX Deployment Service
- Windows BitLocker
- Windows Connected Devices Platform Service
- Windows Cred SSProvider Protocol
- Windows Cryptographic Services
- Windows Event Tracing
- Windows Fast FAT Driver
- Windows GDI
- Windows Imaging Component
- Windows KDC Proxy Service (KPSSVC)
- Windows Kerberos
- Windows Kernel
- Windows MBT Transport driver
- Windows Media
- Windows NTFS
- Windows Netlogon
- Windows Notification
- Windows Performance Recorder
- Windows Print Spooler Components
- Windows Remote Desktop Licensing Service
- Windows Routing and Remote Access Service (RRAS)
- Windows SMB
- Windows SPNEGO Extended Negotiation
- Windows SSDP Service
- Windows Secure Kernel Mode
- Windows Shell
- Windows SmartScreen
- Windows StateRepository API
- Windows Storage
- Windows Storage VSP Driver
- Windows TCP/IP
- Windows TDX.sys
- Windows Universal Plug and Play (UPnP) Device Host
- Windows Update Service
- Windows User-Mode Driver Framework Host
- Windows Virtualization-Based Security (VBS) Enclave
- Windows Visual Basic Scripting
- Windows Win32K - GRFX
- Windows Win32K - ICOMP
- Workspace Broker
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 08 de julio, consta de 130 vulnerabilidades (con CVE asignado), calificadas 1 como crítica, 99 como altas, 27 como medias y 3 como bajas.
Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
La vulnerabilidad de severidad crítica publicada tiene asignado el siguiente identificador y descripción:
- CVE-2025-47981: vulnerabilidad de ejecución remota de código en SPNEGO Extended Negotiation (NEGOEX) Security Mechanism.
Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.
Inyección SQL en FortiWeb de Fortinet
- FortiWeb 7.6, versiones desde la 7.6.0 hasta la 7.6.3;
- FortiWeb 7.4, versiones desde la 7.4.0 hasta la 7.4.7;
- FortiWeb 7.2, versiones desde la 7.2.0 hasta la 7.2.10;
- FortiWeb 7.0, versiones desde la 7.0.0 hasta la 7.0.10.
Kentaro Kawane de GMO Cybersecurity ha informado de esta vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante, no autenticado, ejecutar, sin autorización, código SQL o comandos a través de solicitudes HTTP o HTTPS manipuladas.
Para cada versión actualizar a la siguiente versión o superior:
- FortiWeb 7.6 - 7.6.4;
- FortiWeb 7.4 - 7.4.8;
- FortiWeb 7.2 - 7.2.11;
- FortiWeb 7.0 - 7.0.11.
En caso de que no sea posible instalar la actualización, se recomienda deshabilitar la interfaz de administración HTTP/HTTPS.
FortiWeb tiene una vulnerabilidad de neutralización incorrecta de elementos especiales en un comando SQL (inyección SQL / SQL injection) que puede permitir a un atacante, no autenticado, ejecutar, sin autorización, código SQL o comandos mediante una solicitud HTTP o HTTPS manipulada. De esta forma un atacante podría acceder a datos sensibles, alterar el contenido de la base de datos o comprometer el backend de los sistemas.