Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Seis nuevos avisos de seguridad

Índice

  • Actualización de seguridad de SAP de diciembre de 2025
  • Actualizaciones de seguridad de Microsoft de diciembre de 2025
  • Múltiples vulnerabilidades en Endpoint Manager de Ivanti
  • Omisión de autenticación en el inicio de sesión SSO en productos de Fortinet
  • Referencia directa a objetos inseguros (IDOR) en CronosWeb de CronosWeb i2A
  • Bypass en el método de autenticación del aplicativo Sistema de Información Tributario de GTT

Actualización de seguridad de SAP de diciembre de 2025

Fecha10/12/2025
Importancia5 - Crítica
Recursos Afectados
  • SAP Solution Manager, versión ST 720.
  • SAP Commerce Cloud, versiones HY_COM 2205, COM_CLOUD 2211 y COM_CLOUD 2211-JDK21.
  • SAP jConnect - SDK for ASE, versiones SYBASE_SOFTWARE_DEVELOPER_KIT 16.0.4 y 16.1.
  • SAP Web Dispatcher and Internet Communication Manager (ICM), versiones KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.22_EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93 y 9.16.
  • SAP NetWeaver (remote service for Xcelsius), versiones BI-BASE-E 7.50, BI-BASE-B 7.50, BI-IBC 7.50, BI-BASE-S 7.50 y BIWEBAPP 7.50.
  • SAP Business Objects, versiones ENTERPRISE 430, 2025 y 2027.
  • SAP Web Dispatcher, Internet Communication Manager and SAP Content Server, versiones KRNL64UC 7.53 y WEBDISP 7.53, 7.54, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1, CONTSERV 7.53, 7.54, KERNEL 7.53 y 7.54.
  • SAP S/4 HANA Private Cloud (Financials General Ledger), versiones S4CORE 104, 105, 106, 107, 108 y 109.
  • SAP NetWeaver Internet Communication Framework, versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 y SAP_BASIS 758.
  • Application Server ABAP, versiones KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.16 y 9.17.
  • SAP NetWeaver Enterprise Portal, versión EP-RUNTIME 7.50.
  • SAPUI5 framework (Markdown-it component), versiones SAP_UI 755, 756, 757 y 758.
  • SAP Enterprise Search for ABAP, versiones SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 y SAP_BASIS 816.
  • SAP BusinessObjects Business Intelligence Platform, versiones ENTERPRISE 430, 2025 y 2027.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 14 vulnerabilidades: 3 de severidad crítica, 5 de severidad alta y 6 de severidad media. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante explotar vulnerabilidades de Cross-Site Scripting (XSS), falsificación de solicitudes del lado del servidor (SSRF), corrupción de memoria, denegación de servicio, exposición de datos sensibles, falta de comprobación de autenticación, falta de comprobación de autorización, inyección de código, revelación de información, deserialización, entre otras.
 

Solución

El fabricante recomienda encarecidamente que el cliente visite el portal de soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

Detalle

Las vulnerabilidades de severidad crítica son de los siguientes tipos:

  • inyección de código
  • vulnerabilidad de deserialización
  • vulnerabilidades múltiples en el Apache Tomcat de SAP Commerce Cloud

Se han asignado los identificadores CVE-2025-42880, CVE-2025-55754 y CVE-2025-42928 para las vulnerabilidades de severidad crítica.

Actualizaciones de seguridad de Microsoft de diciembre de 2025

Fecha10/12/2025
Importancia4 - Alta
Recursos Afectados
  • Application Information Services;
  • Azure Monitor Agent;
  • Copilot;
  • Microsoft Brokering File System;
  • Microsoft Edge for iOS;
  • Microsoft Exchange Server;
  • Microsoft Graphics Component;
  • Microsoft Office;
  • Microsoft Office Access;
  • Microsoft Office Excel;
  • Microsoft Office Outlook;
  • Microsoft Office SharePoint;
  • Microsoft Office Word;
  • Storvsp.sys Driver;
  • Windows Camera Frame Server Monitor;
  • Windows Client-Side Caching (CSC) Service;
  • Windows Cloud Files Mini Filter Driver;
  • Windows Common Log File System Driver;
  • Windows DWM Core Library;
  • Windows Defender Firewall Service;
  • Windows DirectX;
  • Windows Hyper-V;
  • Windows Installer;
  • Windows Message Queuing;
  • Windows PowerShell;
  • Windows Projected File System;
  • Windows Projected File System Filter Driver;
  • Windows Remote Access Connection Manager;
  • Windows Resilient File System (ReFS);
  • Windows Routing and Remote Access Service (RRAS);
  • Windows Shell;
  • Windows Storage VSP Driver;
  • Windows Win32K - GRFX.
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 9 de diciembre, consta de 57 vulnerabilidades (con CVE asignado), calificadas 49 como altas y 8 como medias.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

Las vulnerabilidades de severidad alta publicadas tienen asignados los siguientes identificadores y descripciones:

  • CVE-2025-62221: vulnerabilidad de elevación de privilegios en Windows Cloud Files Mini Filter Driver (está siendo explotada).
  • CVE-2025-54100: vulnerabilidad de ejecución remota de código en PowerShell.
  • CVE-2025-55233: vulnerabilidad de elevación de privilegios en Windows Projected File System.
  • CVE-2025-59516: vulnerabilidad de elevación de privilegios en Windows Storage VSP Driver.
  • CVE-2025-59517: vulnerabilidad de elevación de privilegios en Windows Storage VSP Driver.
  • CVE-2025-62454: vulnerabilidad de elevación de privilegios en Windows Cloud Files Mini Filter Driver.
  • CVE-2025-62455: vulnerabilidad de elevación de privilegios en Microsoft Message Queuing (MSMQ).
  • CVE-2025-62456: vulnerabilidad de ejecución remota de código en Windows Resilient File System (ReFS).
  • CVE-2025-62457: vulnerabilidad de elevación de privilegios en Windows Cloud Files Mini Filter Driver.
  • CVE-2025-62458: vulnerabilidad de elevación de privilegios en Win32k.
  • CVE-2025-62461: vulnerabilidad de elevación de privilegios en Windows Projected File System.
  • CVE-2025-62462: vulnerabilidad de elevación de privilegios en Windows Projected File System.
  • CVE-2025-62464: vulnerabilidad de elevación de privilegios en Windows Projected File System.
  • CVE-2025-62466: vulnerabilidad de elevación de privilegios en Windows Client-Side Caching.
  • CVE-2025-62467: vulnerabilidad de elevación de privilegios en Windows Projected File System.
  • CVE-2025-62469: vulnerabilidad de elevación de privilegios en Microsoft Brokering File System.
  • CVE-2025-62470: vulnerabilidad de elevación de privilegios en Windows Common Log File System Driver.
  • CVE-2025-62472: vulnerabilidad de elevación de privilegios en Windows Remote Access Connection Manager.
  • CVE-2025-62474: vulnerabilidad de elevación de privilegios en Windows Remote Access Connection Manager.
  • CVE-2025-62549: vulnerabilidad de ejecución remota de código en Windows Routing and Remote Access Service (RRAS).
  • CVE-2025-62550: vulnerabilidad de ejecución remota de código en Azure Monitor Agent.
  • CVE-2025-62552: vulnerabilidad de ejecución remota de código en Microsoft Access.
  • CVE-2025-62553: vulnerabilidad de ejecución remota de código en Microsoft Excel.
  • CVE-2025-62554: vulnerabilidad de ejecución remota de código en Microsoft Office.
  • CVE-2025-62555: vulnerabilidad de ejecución remota de código en Microsoft Word.
  • CVE-2025-62556: vulnerabilidad de ejecución remota de código en Microsoft Excel.
  • CVE-2025-62557: vulnerabilidad de ejecución remota de código en Microsoft Office.
  • CVE-2025-62558: vulnerabilidad de ejecución remota de código en Microsoft Word.
  • CVE-2025-62559: vulnerabilidad de ejecución remota de código en Microsoft Word.
  • CVE-2025-62560: vulnerabilidad de ejecución remota de código en Microsoft Excel.
  • CVE-2025-62561: vulnerabilidad de ejecución remota de código en Microsoft Excel.
  • CVE-2025-62562: vulnerabilidad de ejecución remota de código en Microsoft Outlook.
  • CVE-2025-62563: vulnerabilidad de ejecución remota de código en Microsoft Excel.
  • CVE-2025-62564: vulnerabilidad de ejecución remota de código en Microsoft Excel.
  • CVE-2025-62565: vulnerabilidad de elevación de privilegios en Windows File Explorer.
  • CVE-2025-62569: vulnerabilidad de elevación de privilegios en Microsoft Brokering File System.
  • CVE-2025-62570: vulnerabilidad de Revelación de Información en Windows Camera Frame Server Monitor.
  • CVE-2025-62571: vulnerabilidad de elevación de privilegios en Windows Installer.
  • CVE-2025-62572: vulnerabilidad de elevación de privilegios en Application Information Service.
  • CVE-2025-62573: vulnerabilidad de elevación de privilegios en DirectX Graphics Kernel.
  • CVE-2025-64658: vulnerabilidad de elevación de privilegios en Windows File Explorer.
  • CVE-2025-64661: vulnerabilidad de elevación de privilegios en Windows Shell.
  • CVE-2025-64666: vulnerabilidad de elevación de privilegios en Microsoft Exchange Server.
  • CVE-2025-64671: vulnerabilidad de ejecución remota de código en GitHub Copilot for Jetbrains.
  • CVE-2025-64672: vulnerabilidad de Suplantación en Microsoft SharePoint Server.
  • CVE-2025-64673: vulnerabilidad de elevación de privilegios en Windows Storage VSP Driver.
  • CVE-2025-64678: vulnerabilidad de ejecución remota de código en Windows Routing and Remote Access Service (RRAS).
  • CVE-2025-64679: vulnerabilidad de elevación de privilegios en Windows DWM Core Library.
  • CVE-2025-64680: vulnerabilidad de elevación de privilegios en Windows DWM Core Library.

Los códigos CVE asignados a las vulnerabilidades no altas reportadas pueden consultarse en las referencias.

Múltiples vulnerabilidades en Endpoint Manager de Ivanti

Fecha10/12/2025
Importancia5 - Crítica
Recursos Afectados

Ivanti Endpoint Manager: versiones 2024 SU4 y anteriores.

Descripción

Ivanti ha publicado un aviso de seguridad informando sobre 4 vulnerabilidades: 1 de severidad crítica y 3 altas, que de ser explotas, podrían permitir a un atacante ejecutar código JavaScript de su elección, escribir archivos en el servidor o ejecutar código arbitrario.

Solución

Actualizar a la versión 2024 SU4 SR1.

Detalle

CVE-2025-10573: un Cross-Site Scripting almacenado podría permitir que un atacante remoto, no autenticado, ejecute JavaScript arbitrario en una sesión de administrador. Se requiere la interacción del usuario.

Para las vulnerabilidades de severidad alta se han asignado los siguientes identificadores y su detalle se puede consultar en el enlace de las referencias: CVE-2025-13659, CVE-2025-13661 y CVE-2025-13662.

Omisión de autenticación en el inicio de sesión SSO en productos de Fortinet

Fecha10/12/2025
Importancia5 - Crítica
Recursos Afectados

Las versiones de los siguientes productos están afectados:

  • FortiOS:
    • De 7.6.0 a 7.6.3;
    • De 7.4.0 a 7.4.8;
    • De 7.2.0 a 7.2.11;
    • De 7.0.0 a 7.0.17.
  • FortiProxy:
    • De 7.4.0 a 7.4.10;
    • De 7.2.0 a 7.2.14;
    • De 7.0.0 a 7.0.21.
  • FortiSwitchManager:
    • De 7.2.0 a 7.2.6
    • De 7.0.0 a 7.0.5.
  • FortiWeb:
    • 8.0.0;
    • De 7.6.0 a 7.6.4;
    • De 7.4.0 a 7.4.9.
Descripción

Yonghui Han y Theo Leleu, del equipo de Seguridad de Productos de Fortinet, han reportado 1 vulnerabilidad de severidad crítica que de ser explotada, podría permitir a un atacante, no autenticado, evitar la autenticación de inicio de sesión SSO de FortiCloud a través de un mensaje SAML diseñado.

Solución

Se recomienda desactivar temporalmente la función de inicio de sesión de FortiCloud (si esta está habilitada) hasta
actualizar a una versión no afectada.

Actualizar los productos a las versiones en las que la vulnerabilidad está corregida.

  • FortiOS, versiones 7.6.4, 7.4.9, 7.2.12, 7.0.18  o superiores.
  • FortiProxy, versiones 7.6.4, 7.4.11, 7.2.15, 7.0.22  o superiores.
  • FortiSwitchManager, versiones 7.2.7, 7.0.6 o superiores.
  • FortiWeb, versiones 8.0.1, 7.6.5, 7.4.10 o superiores.
Detalle

Vulnerabilidad de verificación incorrecta de la firma criptográfica en los productos de Fortinet que, en caso de ser explotada permitiría a un atacante no autenticado eludir la autenticación de inicio de sesión SSO de FortiCloud a través de un mensaje de respuesta SAML diseñado.

  • CVE-2025-59718: la vulnerabilidad afecta a las versiones de los productos FortiOS, FortiProxy y FortiSwitchManager ya mencionadas anteriormente.
  • CVE-2025-59719: la vulnerabilidad afecta a las versiones del producto FortiWeb ya mencionadas anteriormente.

Referencia directa a objetos inseguros (IDOR) en CronosWeb de CronosWeb i2A

Fecha10/12/2025
Importancia4 - Alta
Recursos Afectados

CronosWeb, versión 25.00 y CronosWeb versión 24.05.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta, que afecta a CronosWeb de CronosWeb i2A, plataforma para gestionar reservas, actividades y servicios de instalaciones deportivas y municipales. La vulnerabilidad ha sido descubierta por Félix Sánchez Medina.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41358: CVSS v4.0: 8.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N | CWE-639.
Solución

La vulnerabilidad ha sido solucionada en CronosWeb versión 25.01 (disponible desde el 01/12/2025).

Detalle

CVE-2025-41358: vulnerabilidad de referencia directa a objetos inseguros (IDOR) en CronosWeb de i2A, en versiones anteriores a 25.00.00.12, incluida. Esta vulnerabilidad podría permitir a un atacante autenticado acceder a documentos de otros usuarios mediante la manipulación del parámetro 'documentCode' en '/CronosWeb/Modulos/Personas/DocumentosPersonales/AdjuntarDocumentosPersonas'.

Bypass en el método de autenticación del aplicativo Sistema de Información Tributario de GTT

Fecha10/12/2025
Importancia5 - Crítica
Recursos Afectados

Sistema de Información Tributario.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta al aplicativo del Sistema de Información Tributario de GTT, una solución tecnológica que da respuesta a la gestión tributaria integral en la Administración, la cual ha sido descubierta por Julian J. Menéndez de Hispasec.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

CVE-2025-13953: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N | CWE-290

Solución

La vulnerabilidad ha sido corregida deshabilitando el método de autenticación mediante Active Directory (LDAP). La vulnerabilidad ya no es explotable en estos momentos.

Detalle

CVE-2025-13953: vulnerabilidad de bypass en el método de autenticación en la aplicación Sistema de Información Tributario de GTT, relacionada con el método de inicio de sesión mediante Active Directory (LDAP).

La autenticación se realiza a través de un WebSocket local, pero la aplicación web no valida adecuadamente la autenticidad ni el origen de los datos recibidos, lo que permite que un atacante con acceso a la máquina local o a la red interna pueda suplantar el WebSocket legítimo e inyectar información manipulada.

La explotación de esta vulnerabilidad podría permitir a un atacante autenticarse como cualquier usuario del dominio, sin necesidad de credenciales válidas, comprometiendo la confidencialidad, integridad y disponibilidad de la aplicación y sus datos.