Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Actualizaciones de seguridad de Microsoft de noviembre de 2025
  • Actualización de seguridad de SAP de noviembre de 2025

Actualizaciones de seguridad de Microsoft de noviembre de 2025

Fecha12/11/2025
Importancia5 - Crítica
Recursos Afectados
  • Azure Monitor Agent
  • Customer Experience Improvement Program (CEIP)
  • Dynamics 365 Field Service (online)
  • GitHub Copilot and Visual Studio Code
  • Host Process for Windows Tasks
  • Microsoft Configuration Manager
  • Microsoft Dynamics 365 (on-premises)
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft Streaming Service
  • Microsoft Wireless Provisioning System
  • Multimedia Class Scheduler Service (MMCSS)
  • Nuance PowerScribe
  • OneDrive for Android
  • Role: Windows Hyper-V
  • SQL Server
  • Storvsp.sys Driver
  • Visual Studio
  • Visual Studio Code CoPilot Chat Extension
  • Windows Administrator Protection
  • Windows Ancillary Function Driver for WinSock
  • Windows Bluetooth RFCOM Protocol Driver
  • Windows Broadcast DVR User Service
  • Windows Client-Side Caching (CSC) Service
  • Windows Common Log File System Driver
  • Windows DirectX
  • Windows Kerberos
  • Windows Kernel
  • Windows License Manager
  • Windows OLE
  • Windows Remote Desktop
  • Windows Routing and Remote Access Service (RRAS)
  • Windows Smart Card
  • Windows Speech
  • Windows Subsystem for Linux GUI
  • Windows TDX.sys
  • Windows WLAN Service
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 11 de noviembre, consta de 63 vulnerabilidades (con CVE asignado), calificadas 1 como crítica, 46 como altas y 16 como medias.
 

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

La vulnerabilidad de severidad crítica publicada tiene asignado el siguiente identificador y descripción:

  • CVE-2025-60724: vulnerabilidad de ejecución remota de código en GDI+

Adicionalmente, la siguiente vulnerabilidad está siendo explotada:

  • CVE-2025-62215: vulnerabilidad de elevación de privilegios en Windows Kernel.

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.

Actualización de seguridad de SAP de noviembre de 2025

Fecha12/11/2025
Importancia5 - Crítica
Recursos Afectados
  • SQL Anywhere Monitor (Non-Gui), SYBASE_SQL_ANYWHERE_SERVER 17.0;
  • SAP Solution Manager, ST 720;
  • SAP CommonCryptoLib, CRYPTOLIB 8;
  • SAP HANA JDBC Client, HDB_CLIENT 2.0;
  • SAP Business Connector, SAP BC 4.8;
  • SAP NetWeaver Enterprise Portal, EP-BASIS 7.50, EP-RUNTIME 7.50;
  • SAP S/4HANA landscape (SAP E-Recruiting BSP), S4ERECRT 100, 200, ERECRUIT 600, 603, 604, 605, 606, 616, 617, 800, 801, 802;
  • SAP HANA 2.0 (hdbrss), HDB 2.00;
  • SAP GUI para Windows, BC-FES-GUI 8.00, 8.10;
  • SAP Starter Solution (PL SAFT), SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720, 730, S4CORE 100, 101, 102, 103, 104;
  • SAP NetWeaver Application Server Java, ENGINEAPI 7.50, EP-BASIS 7.50;
  • SAP Business One (SLD), B1_ON_HANA 10.0, SAP-M-BO 10.0;
  • SAP S4CORE (Manage Journal Entries), S4CORE 104, 105, 106, 107, 108;
  • SAP NetWeaver Application Server para ABAP, SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816;
  • SAP NetWeaver Application Server para ABAP (Migration Workbench), SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 17 vulnerabilidades: 2 de severidad crítica, 1 de severidad alta, 14 de severidad media y 1 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir, entre otras acciones, el control total del sistema o la posibilidad de ejecutar código o comandos del SO arbitrarios.

Solución

El fabricante recomienda a sus clientes que visiten el portal de soporte y apliquen los parches de forma prioritaria para proteger sus entorno SAP.

Detalle
  • CVE-2025-42890: SQL Anywhere Monitor (Non-GUI) tiene almacenadas credenciales en el código, lo que expone los recursos o la funcionalidad a usuarios no deseados y proporciona a los atacantes la posibilidad de ejecutar código arbitrario. Esto podría afectar gravemente a la confidencialidad, integridad y disponibilidad del sistema.
  • CVE-2025-42887: Debido a que no se depuran las entradas, SAP Solution Manager permite a un atacante autenticado insertar código malicioso cuando se realiza una llamada a un módulo de función habilitado en remoto. Esto podría conceder a un atacante el control total del sistema, lo que tiene un gran impactico en la confidencialidad, integridad y disponibilidad del sistema.

El resto de vulnerabilidades se pueden consultar en los enlaces de las referencias.