Microsoft ha corregido 121 vulnerabilidades en su publicación de las actualizaciones de seguridad de abril de 2025. Los parches de este mes incluyen correcciones para una vulnerabilidad de zero-day explotada activamente y 11 vulnerabilidades críticas, junto con 109 vulnerabilidades adicionales de distintos niveles de gravedad.
Abril 2025 Análisis de riesgos
Los principales tipos de riesgo de este mes por técnica de explotación son la elevación de privilegios, con 49 parches (40%), y la ejecución remota de código (RCE), con 31 (26%).
Figura 1. Desglose de las técnicas de explotación del Patch Tuesday de abril de 2025
Siguiendo la tendencia del mes pasado, Microsoft Windows fue el que más parches ha recibido este mes, con 90, seguido de ESU (55) y Microsoft Office (21).
Figura 2. Desglose de las familias de productos afectadas por el Patch Tuesday de abril de 2025
Vulnerabilidad Zero-Day explotada activamente en el Common Log File System de Windows
CVE-2025-29824 es una importante vulnerabilidad de elevación de privilegios que afecta a Windows Common Log File System y tiene una puntuación CVSS de 7,8. Esto podría permitir a un atacante remoto ejecutar código arbitrario en una máquina víctima después de engañar a una víctima para que abra un archivo malicioso de un correo electrónico o mensaje, o navegue a un sitio web propiedad del atacante. Aunque no se ha revelado una prueba de concepto de esta vulnerabilidad, Microsoft ha confirmado que ha sido explotada activamente. Las actualizaciones para los sistemas Windows 10 de 32 bits y x64 están pendientes de publicación.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-29824 | Windows Common Log File System Driver Elevation of Privilege Vulnerability |
Tabla 1. Zero-day en el Windows Common Log File System
Vulnerabilidades críticas en los servicios de escritorio remoto de Windows
CVE-2025-27480 y CVE-2025-27482 son vulnerabilidades RCE críticas que afectan a los Servicios de Escritorio Remoto de Microsoft Windows, y ambas tienen una puntuación CVSS de 8,1. Estas vulnerabilidades permiten a los atacantes ejecutar remotamente código malicioso sin autenticación conectándose a sistemas que ejecutan el rol Remote Desktop Gateway. Aunque la explotación requiere que el adversario gane una condición de carrera, no es necesaria la interacción del usuario, lo que aumenta el riesgo. Ambas vulnerabilidades afectan a la gestión de memoria en el servicio Remote Desktop Gateway.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2025-27480 | Windows Remote Desktop Services Remote Code Execution Vulnerability |
| Critical | 8.1 | CVE-2025-27482 | Windows Remote Desktop Services Remote Code Execution Vulnerability |
Tabla 2. Vulnerabilidades críticas en los Servicios de Escritorio Remoto de Windows
Vulnerabilidad crítica en el Lightweight Directory Access Protocol de Windows
CVE-2025-26670 y CVE-2025-26663 son vulnerabilidades RCE críticas que afectan a Windows Lightweight Directory Access Protocol (LDAP), y ambas tienen una puntuación CVSS de 8,1. Estos problemas permiten a los atacantes ejecutar remotamente código malicioso sin autenticación mediante el envío de solicitudes de red especialmente diseñadas. Aunque la explotación requiere que el adversario gane una condición de carrera, no es necesaria la interacción del usuario, lo que aumenta el riesgo. Las actualizaciones para Windows 10 están pendientes de publicación; mientras tanto, los usuarios deben vigilar los terminales en busca de actividad sospechosa o considerar la actualización a Windows 11.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2025-26670 | Windows Lightweight Directory Access Protocol Remote Code Execution Vulnerability |
| Critical | 8.1 | CVE-2025-26663 | Windows Lightweight Directory Access Protocol Remote Code Execution Vulnerability |
Tabla 3. Vulnerabilidad crítica en Windows Lightweight Directory Access Protocol
Vulnerabilidades críticas en los productos de Microsoft Office
CVE-2025-27745, CVE-2025-27748, CVE-2025-27749, CVE-2025-27752 y CVE-2025-29791 son vulnerabilidades RCE críticas que afectan a Microsoft Office, y todas ellas tienen una puntuación CVSS de 7,8. Tres de ellas afectan a Microsoft Office a través de vulnerabilidades de uso después de la liberación, mientras que las vulnerabilidades de Excel implican desbordamiento de búfer basado en heap y problemas de confusión de tipos. Las cinco vulnerabilidades requieren que un atacante convenza a una víctima para que abra un archivo especialmente diseñado, y el panel de vista previa sirve como vector de ataque adicional. Hemos visto Preview Pane muchas veces en otras vulnerabilidades (abril de 2023, julio de 2023, diciembre de 2023, octubre de 2024, enero de 2025, febrero de 2025). Las actualizaciones de Microsoft Office LTSC para Mac 2021 y 2024 están pendientes de publicación.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.8 | CVE-2025-27745 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-27748 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-27749 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-27752 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-29791 | Microsoft Office Remote Code Execution Vulnerability |
Tabla 4. Vulnerabilidades críticas en Microsoft Office
Vulnerabilidad crítica en la implementación de TCP/IP de Windows
CVE-2025-26686 es una vulnerabilidad RCE crítica que afecta a la implementación TCP/IP de Windows y tiene una puntuación CVSS de 7,5. Esta vulnerabilidad implica problemas de gestión de memoria que podrían permitir a un atacante ejecutar código malicioso en los sistemas afectados. La explotación requiere que un usuario inicie primero una conexión de red, tras lo cual el atacante podría enviar una respuesta de red especialmente diseñada. La explotación requiere una sincronización precisa y la preparación anticipada del entorno de destino, lo que hace que los ataques con éxito sean menos probables. Las actualizaciones para los sistemas Windows 10 de 32 bits y x64 están pendientes de publicación; mientras tanto, los usuarios deben vigilar los terminales en busca de actividad sospechosa o considerar la actualización a Windows 11.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.5 | CVE-2025-26686 | Windows TCP/IP Remote Code Execution Vulnerability |
Cuadro 5. Vulnerabilidad crítica en Windows TCP/IP
Vulnerabilidad crítica en Windows Hyper-V
CVE-2025-27491 es una vulnerabilidad RCE crítica que afecta a Windows Hyper-V y tiene una puntuación CVSS de 7,1. Esta vulnerabilidad de uso tras liberación permite a un atacante autenticado con privilegios de invitado ejecutar código arbitrario a través de una red convenciendo a una víctima para que abra un sitio malicioso. Una vulnerabilidad use-after-free se produce cuando los programas acceden a memoria ya liberada, permitiendo potencialmente la ejecución de código. Para explotarla es necesario ganar una condición de carrera, por lo que es menos probable que se explote en la naturaleza. La vulnerabilidad no se ha divulgado ni explotado públicamente. Las actualizaciones para los sistemas Windows 10 de 32 bits y x64 están pendientes de publicación; mientras tanto, los usuarios deben vigilar los terminales en busca de actividad sospechosa o considerar la actualización a Windows 11.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.1 | CVE-2025-27491 | Windows Hyper-V Remote Code Execution Vulnerability |
Tabla 6. Vulnerabilidad crítica en Windows Hyper-V
Mitigación de seguridad para Windows Kerberos, Windows NTFS y Windows Resilient File System
CVE-2025-26647 es una importante vulnerabilidad de elevación de privilegios que afecta a Windows Kerberos y tiene una puntuación CVSS de 8,1. Esta vulnerabilidad permite la elevación de privilegios basada en red a través de una validación de entrada incorrecta. Microsoft recomienda un enfoque en tres pasos: En primer lugar, actualizar todos los equipos y controladores de dominio de Windows con los parches publicados a partir del 8 de abril de 2025; en segundo lugar, supervisar los eventos de auditoría visibles en el modo Auditoría para identificar los dispositivos no actualizados; y, por último, activar el modo Aplicación una vez que el entorno ya no utilice certificados emitidos por autoridades que no estén en el almacén NTAuth. Para obtener más información, consulte https://support.microsoft.com/help/5057784.
CVE-2025-21197 y CVE-2025-27738 son vulnerabilidades importantes de divulgación de información en Windows NTFS y Resilient File System (ReFS), respectivamente, y ambas tienen una puntuación CVSS de 6,5. Microsoft ha implementado una corrección que está desactivada por defecto para evitar problemas de compatibilidad de las aplicaciones. Los administradores pueden activar la protección a través de una clave de registro detallada en la documentación de soporte de Microsoft. Para más información, consulte https://support.microsoft.com/help/5058189.
| Severity | CVSS Score | CVE | Description |
| Important | 8.1 | CVE-2025-26647 | Windows Kerberos Elevation of Privilege Vulnerability |
| Important | 6.5 | CVE-2025-21197 | Windows NTFS Information Disclosure Vulnerability |
| Important | 6.5 | CVE-2025-27738 | Windows Resilient File System (ReFS) Information Disclosure Vulnerability |
Tabla 7. Vulnerabilidades importantes en Windows Kerberos, Windows NTFS y Windows Resilient File System (ReFS)