Microsoft ha solucionado 137 vulnerabilidades en su actualización de seguridad de julio de 2025, más del doble que en junio. Los parches de este mes incluyen correcciones para una vulnerabilidad de día cero revelada públicamente y 14 vulnerabilidades críticas, además de 122 vulnerabilidades adicionales de distintos niveles de gravedad.
Análisis de riesgos de julio de 2025
Los tipos de riesgos más importantes de este mes por técnica de explotación son la elevación de privilegios con 53 parches (38 %), la ejecución remota de código (RCE) con 41 parches (29 %) y la divulgación de información con 18 (13 %). En comparación con el mes pasado, el tipo de vulnerabilidad más común ha pasado de ser la ejecución remota de código (que lideraba con un 38 % de los parches en junio de 2025) a las vulnerabilidades de elevación de privilegios.
Figura 1. Desglose de las técnicas de explotación del martes de parches de julio de 2025
Microsoft Windows recibió el mayor número de parches este mes, con 103, seguido de las actualizaciones de seguridad ampliadas (ESU), con 61, y Microsoft Office, con 18.
Figura 2. Desglose de las familias de productos afectadas por el Patch Tuesday de julio de 2025.
Vulnerabilidad de día cero divulgada públicamente en Microsoft SQL Server
CVE-2025-49719 es una vulnerabilidad importante de divulgación de información que afecta a Microsoft SQL Server y tiene una puntuación CVSS de 7,5. Esta vulnerabilidad permite a atacantes remotos no autenticados acceder a información confidencial aprovechando una validación de entrada inadecuada en SQL Server a través de una conexión de red. Aunque la vulnerabilidad se ha divulgado públicamente, no hay pruebas de que se esté explotando activamente. La vulnerabilidad afecta a varias versiones de SQL Server, incluidas SQL Server 2022, 2019, 2017 y 2016. Cuando se explota con éxito, los atacantes pueden obtener acceso al contenido de la memoria no inicializada, lo que podría exponer datos confidenciales y comprometer la confidencialidad de los sistemas afectados.
| Severity | CVSS Score | CVE | Description |
| Important | 7.5 | CVE-2025-49719 | Microsoft SQL Server Information Disclosure Vulnerability |
Tabla 1. Vulnerabilidad de día cero divulgada públicamente en Microsoft SQL Server
Vulnerabilidad crítica en la negociación extendida SPNEGO de Windows
CVE-2025-47981 es una vulnerabilidad crítica de ejecución remota de código en el mecanismo de seguridad de negociación extendida SPNEGO (NEGOEX) de Windows y tiene una puntuación CVSS de 9,8. Esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar código arbitrario aprovechando un desbordamiento de búfer basado en el montón en el componente NEGOEX. La explotación no requiere interacción del usuario y puede activarse enviando mensajes maliciosos especialmente diseñados al servidor de destino.
El mecanismo de negociación GSSAPI simple y protegido (SPNEGO) es un importante protocolo de autenticación en entornos Windows y sistemas empresariales, pero no es necesario para todas las aplicaciones de servidor, ya que muchos servicios web y en la nube modernos utilizan métodos de autenticación alternativos como OAuth, SAML o JWT.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2025-47981 | SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution Vulnerability |
Tabla 2. Vulnerabilidad crítica en Windows SPNEGO Extended Negotiation
Vulnerabilidades críticas en los productos de Microsoft Office
CVE-2025-49704 es una vulnerabilidad crítica de ejecución remota de código en Microsoft SharePoint y tiene una puntuación CVSS de 8,8. Esta vulnerabilidad permite a los atacantes autenticados con privilegios de propietario del sitio ejecutar código arbitrario aprovechando fallos de inyección de código en SharePoint Server a través de una red. La complejidad del ataque es baja, ya que requiere un conocimiento previo mínimo del sistema, y puede explotarse de forma remota desde Internet, lo que podría comprometer por completo los servidores SharePoint afectados.
CVE-2025-49695 es una vulnerabilidad crítica de ejecución remota de código en Microsoft Office y tiene una puntuación CVSS de 8,4. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario aprovechando una vulnerabilidad de uso después de la liberación en Microsoft Office. A pesar de estar clasificada como un vector de ataque local, puede activarse sin la interacción del usuario, incluso a través del panel de vista previa.
CVE-2025-49696 es una vulnerabilidad crítica de ejecución remota de código en Microsoft Office y tiene una puntuación CVSS de 8,4. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario aprovechando vulnerabilidades de lectura fuera de límites y desbordamiento de búfer basado en el montón en Microsoft Office. La vulnerabilidad se puede activar sin la interacción del usuario, incluso a través del panel de vista previa.
CVE-2025-49697 es una vulnerabilidad crítica de ejecución remota de código en Microsoft Office y tiene una puntuación CVSS de 8,4. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario aprovechando un desbordamiento de búfer basado en el montón en Microsoft Office. La vulnerabilidad se puede activar sin la interacción del usuario, incluso a través del panel de vista previa.
CVE-2025-49698 es una vulnerabilidad crítica de ejecución remota de código en Microsoft Word y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario aprovechando una vulnerabilidad de uso después de la liberación en Microsoft Word. La explotación requiere la interacción del usuario, normalmente mediante la apertura de un archivo especialmente diseñado, y también se puede activar a través del panel de vista previa.
CVE-2025-49702 es una vulnerabilidad crítica de ejecución remota de código en Microsoft Office y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a los atacantes no autenticados ejecutar código arbitrario aprovechando una vulnerabilidad de confusión de tipos en Microsoft Office. La explotación requiere la interacción del usuario, normalmente mediante la apertura de un archivo especialmente diseñado, y también puede activarse a través del panel de vista previa.
CVE-2025-49703 es una vulnerabilidad crítica de ejecución remota de código en Microsoft Word y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario aprovechando una vulnerabilidad de uso después de la liberación en Microsoft Word. La explotación requiere la interacción del usuario, normalmente mediante la apertura de un archivo especialmente diseñado, y también puede activarse a través del panel de vista previa.
La mayoría de las vulnerabilidades pueden explotarse a través del panel de vista previa como vector de ataque: los archivos maliciosos pueden activar vulnerabilidades con solo visualizarlos en la función de vista previa de Outlook o del Explorador de archivos, lo que aumenta significativamente el riesgo, ya que los usuarios no necesitan abrir los archivos para activar el exploit.
Hay que tener en cuenta que el panel de vista previa no es un elemento nuevo en las vulnerabilidades de Windows, ya que se ha visto en otras vulnerabilidades anteriores (abril de 2023, julio de 2023, diciembre de 2023, octubre de 2024, enero de 2025, febrero de 2025, abril de 2025 y junio de 2025).
| Severity | CVSS Score | CVE | Description |
| Critical | 8.8 | CVE-2025-49704 | Microsoft SharePoint Remote Code Execution Vulnerability |
| Critical | 8.4 | CVE-2025-49695 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 8.4 | CVE-2025-49696 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 8.4 | CVE-2025-49697 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-49698 | Microsoft Word Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-49702 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-49703 | Microsoft Word Remote Code Execution Vulnerability |
Tabla 3. Vulnerabilidades críticas en Microsoft Office
Vulnerabilidad crítica en la asignación de dispositivos discretos (DDA) de Windows Hyper-V
CVE-2025-48822 es una vulnerabilidad crítica de ejecución remota de código en la asignación de dispositivos discretos (DDA) de Windows Hyper-V y tiene una puntuación CVSS de 8,6. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario aprovechando una vulnerabilidad de lectura fuera de límites en Windows Hyper-V. La explotación requiere la interacción del usuario, normalmente engañándolo para que importe un archivo INF, y puede afectar a recursos más allá del ámbito de seguridad del componente vulnerable, lo que podría comprometer por completo el sistema host desde una máquina virtual.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2025-29828 | Windows Hyper-V Discrete Device Assignment (DDA) Remote Code Execution Vulnerability |
Tabla 4. Vulnerabilidad crítica en Windows Hyper-V DDA
Vulnerabilidad crítica en los Servicios de Escritorio remoto de Windows
CVE-2025-49717 es una vulnerabilidad crítica de ejecución remota de código en Microsoft SQL Server y tiene una puntuación CVSS de 8,5. Esta vulnerabilidad permite a los atacantes autenticados con privilegios bajos ejecutar código arbitrario aprovechando un desbordamiento de búfer basado en el montón en SQL Server a través de una conexión de red.
La vulnerabilidad supone un riesgo de seguridad significativo, ya que su explotación exitosa permite a los atacantes romper los límites de seguridad de SQL Server y ejecutar código malicioso directamente en el sistema operativo host subyacente. La vulnerabilidad afecta a las instancias de SQL Server que se ejecutan tanto en entornos locales como en Windows Azure (IaaS). Microsoft ha publicado parches oficiales para todas las versiones afectadas de SQL Server (2016 a 2022) a través de los canales General Distribution Release (GDR) y Cumulative Update (CU).
| Severity | CVSS Score | CVE | Description |
| Critical | 8.5 | CVE-2025-49717 | Microsoft SQL Server Remote Code Execution Vulnerability |
Tabla 5. Vulnerabilidad crítica en Microsoft SQL Server: vulnerabilidad de ejecución remota de código.
Vulnerabilidad crítica en Windows Kerberos Key Distribution Center Proxy Service (KPSSVC)
CVE-2025-49735 es una vulnerabilidad crítica de ejecución remota de código en el servicio proxy del centro de distribución de claves (KPSSVC) de Windows KDC y tiene una puntuación CVSS de 8,1. Esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar código arbitrario aprovechando una vulnerabilidad de uso después de la liberación en el servicio proxy Kerberos KDC a través de una conexión de red. Si se explota con éxito, los atacantes pueden obtener el control total de los sistemas afectados enviando aplicaciones especialmente diseñadas que aprovechan una vulnerabilidad del protocolo criptográfico en KDCSVC. La vulnerabilidad solo afecta a los servidores Windows configurados específicamente como servidores del protocolo proxy Kerberos KDC, mientras que los controladores de dominio no son vulnerables.
Esta vulnerabilidad concreta en Windows KPSSVC ya se mencionó en el blog del mes pasado (junio de 2025).
| Severity | CVSS Score | CVE | Description |
| Critical | 8.1 | CVE-2025-49735 | Windows KDC Proxy Service (KPSSVC) Remote Code Execution Vulnerability |
Tabla 6. Vulnerabilidad crítica en Windows KPSSVC
Vulnerabilidad crítica en el componente de imágenes de Microsoft
CVE-2025-47980 es una vulnerabilidad crítica de divulgación de información en el componente Windows Imaging y tiene una puntuación CVSS de 6,2. Esta vulnerabilidad permite a los atacantes locales no autenticados acceder a información confidencial aprovechando la exposición de información confidencial a actores no autorizados en el componente Windows Imaging. Si se explota con éxito, los atacantes pueden leer pequeñas porciones de la memoria del montón, que podrían contener datos confidenciales, comprometiendo la confidencialidad de los sistemas afectados.
| Severity | CVSS Score | CVE | Description |
| Critical | 6.2 | CVE-2025-47980 | Windows Imaging Component Information Disclosure Vulnerability |
Tabla 7. Vulnerabilidad crítica en Microsoft Imaging Component
Vulnerabilidades críticas en AMD
CVE-2025-36350 y CVE-2025-36357 son vulnerabilidades críticas de divulgación de información en procesadores AMD y tienen la misma puntuación CVSS de 5,6. Estas vulnerabilidades, que afectan a Store Queue y L1 Data Queue respectivamente, permiten a atacantes locales autenticados con privilegios bajos acceder a información confidencial a través de ataques transitorios al programador sin necesidad de interacción por parte del usuario.
Microsoft ha incluido estas vulnerabilidades de AMD en la Guía de actualizaciones de seguridad porque su mitigación requiere actualizaciones de Windows. Las últimas versiones de Windows habilitan protecciones contra estas vulnerabilidades, que AMD ha documentado en el boletín de seguridad AMD-SB-7029. Microsoft y AMD han evaluado la explotación como «poco probable» y, según Microsoft, no hay pruebas de divulgación pública ni de explotación activa en este momento. Estas vulnerabilidades son similares a las vulnerabilidades de omisión de almacenamiento especulativo que se han detallado aquí.
| Severity | CVSS Score | CVE | Description |
| Critical | 5.6 | CVE-2025-36350 | AMD: Transient Scheduler Attack in Store Queue |
| Critical | 5.6 | CVE-2025-36357 | AMD: Transient Scheduler Attack in L1 Data Queue |
Tabla 8. Vulnerabilidades críticas en AMD