Microsoft ha corregido 72 vulnerabilidades en su lanzamiento de actualizaciones de seguridad de mayo de 2025. Los parches de este mes incluyen correcciones para cinco vulnerabilidades de «zero-day» explotadas activamente.
Microsoft parcheó un total de cinco vulnerabilidades críticas y 62 vulnerabilidades adicionales de distintos niveles de gravedad.
Mayo 2025 Análisis de riesgos
Los principales riesgos de este mes por técnica de explotación son la ejecución remota de código (RCE), con 29 parches (40%), la elevación de privilegios, con 18 parches (25%), y la revelación de información, con 14 (19%).
Figura 1. Técnicas de explotación del Patch Tuesday de mayo de 2025
Por familias de productos, Microsoft Windows fue la que más parches recibió este mes, con 44, seguida de Extended Security Update (ESU), con 31, y Microsoft Office, con 19.
Figura 2. Clasificación de las familias de productos afectadas por el Patch Tuesday de mayo de 2025
Vulnerabilidades de Zero-Day explotadas activamente en el sistema de archivos de registro común de Windows
CVE-2025-32706 es una importante vulnerabilidad de elevación de privilegios que afecta al sistema de archivos de registro común de Windows y tiene una puntuación CVSS de 7,8. Este defecto permite a un atacante local autenticado ejecutar código con privilegios elevados del sistema debido a una validación de entrada incorrecta.
Esta vulnerabilidad de «zero-day» fue descubierta a finales de abril de 2025 por CrowdStrike Counter Adversary Operations, que reveló responsablemente la vulnerabilidad a Microsoft a través de canales privados. Posteriormente, Microsoft validó el problema y publicó un parche para solucionarlo hoy (13 de mayo de 2025).
CVE-2025-32701 es una importante vulnerabilidad de elevación de privilegios que afecta al sistema de archivos de registro común de Windows y tiene una puntuación CVSS de 7,8. Se trata de una vulnerabilidad de uso después de la liberación que, si se explota con éxito, podría permitir a un atacante elevar privilegios en el sistema afectado.
Aunque no se ha revelado la prueba de concepto de esta vulnerabilidad, Microsoft ha confirmado que ha sido explotada activamente. Las vulnerabilidades del sistema de archivos de registro común de Windows se han abordado muchas veces en anteriores lanzamientos del martes de parches (abril de 2023, noviembre de 2023, diciembre de 2024, abril de 2025).
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-32706 | Windows Common Log File System Driver Elevation of Privilege Vulnerability |
| Important | 7.8 | CVE-2025-32701 | Windows Common Log File System Driver Elevation of Privilege Vulnerability |
Tabla 1. Zero-day en el sistema de archivos de registro común de Windows
Vulnerabilidad de Zero-Day explotada activamente en el controlador de funciones auxiliares de Windows para WinSock
CVE-2025-32709 es una importante vulnerabilidad de elevación de privilegios que afecta al controlador de funciones auxiliares de Windows para WinSock y tiene una puntuación CVSS de 7,8. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario para que abra un archivo específicamente diseñado o un sitio web malicioso, lo que podría permitir al atacante ejecutar código con los permisos del usuario. No se ha publicado una prueba de concepto pública, pero Microsoft ha verificado que esta vulnerabilidad está siendo explotada activamente.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-32709 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability |
Tabla 2. Zero-day en el controlador de funciones auxiliares de Windows para WinSock
Vulnerabilidad Zero-Day explotada activamente en la biblioteca Microsoft DWM Core Library
CVE-2025-30400 es una importante vulnerabilidad de elevación de privilegios que afecta a la biblioteca central de Microsoft Desktop Windows Manager (DWM) y tiene una puntuación CVSS de 7,8. Un atacante puede explotar esta vulnerabilidad convenciendo a un usuario para que abra un archivo o sitio web especialmente diseñado, lo que le permite ejecutar código arbitrario con los privilegios del usuario. Aunque no se ha publicado una prueba de concepto pública, Microsoft ha confirmado que esta vulnerabilidad está siendo explotada en la actualidad.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-30400 | Microsoft DWM Core Library Elevation of Privilege Vulnerability |
Tabla 3. Zero-day en Microsoft DWM Core Library
Vulnerabilidad Zero-Day explotada activamente en Microsoft Scripting Engine
CVE-2025-30397 es una importante vulnerabilidad de corrupción de memoria que afecta al motor de scripting de Microsoft y tiene una puntuación CVSS de 7,5. Esto podría permitir a un atacante remoto ejecutar código si un usuario hace clic en un enlace malicioso mientras utiliza el modo Internet Explorer de Microsoft Edge. El ataque requiere la interacción del usuario y tiene una alta complejidad de ataque. Aunque no se ha revelado la prueba de concepto de esta vulnerabilidad, Microsoft ha confirmado que se ha explotado activamente en la naturaleza.
| Severity | CVSS Score | CVE | Description |
| Important | 7.5 | CVE-2025-30397 | Microsoft Scripting Engine Memory Corruption Vulnerability |
Tabla 4. Zero-day en Microsoft Scripting Engine
Vulnerabilidades críticas en los servicios de escritorio remoto de Windows
CVE-2025-29966 y CVE-2025-29967 son vulnerabilidades críticas de ejecución remota de código (RCE) que afectan a los Servicios de Escritorio Remoto de Microsoft Windows, y ambas tienen una puntuación CVSS de 8,8. Se ha descubierto una vulnerabilidad de desbordamiento de búfer basada en heap en Windows Remote Desktop. Podría permitir a atacantes remotos con control de un Servidor de Escritorio Remoto desencadenar la ejecución remota de código en una máquina Cliente RDP que se conecte al servidor malicioso. Se trata de una vulnerabilidad del lado del cliente que no requiere autenticación ni interacción, lo que podría llevar a la toma completa del sistema.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.8 | CVE-2025-29966 | Windows Remote Desktop Services Remote Code Execution Vulnerability |
| Critical | 8.8 | CVE-2025-29967 | Windows Remote Desktop Services Remote Code Execution Vulnerability |
Tabla 5. Vulnerabilidades críticas en los Windows Remote Desktop Services
Vulnerabilidades críticas en los productos de Microsoft Office
CVE-2025-30377 y CVE-2025-30386 son vulnerabilidades RCE críticas que afectan a Microsoft Office, y ambas tienen una puntuación CVSS de 8,4. Se trata de vulnerabilidades «use-after-free» que requieren que un atacante convenza a una víctima para que abra un archivo especialmente diseñado, con el panel de vista previa como vector de ataque adicional. Preview Pane se ha visto muchas veces en otras vulnerabilidades (abril de 2023, julio de 2023, diciembre de 2023, octubre de 2024, enero de 2025, febrero de 2025, abril de 2025).
| Severity | CVSS Score | CVE | Description |
| Critical | 8.4 | CVE-2025-30377 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 8.4 | CVE-2025-30386 | Microsoft Office Remote Code Execution Vulnerability |
Tabla 6. Vulnerabilidades críticas en Microsoft Office
Vulnerabilidad crítica en Windows Virtual Machine Bus
CVE-2025-29833 es una vulnerabilidad RCE crítica que afecta a Windows Virtual Machine Bus y tiene una puntuación CVSS de 7,1. Existe una vulnerabilidad de race condition de tiempo de comprobación de tiempo de uso (TOCTOU) en Windows Virtual Machine Bus que permite a los atacantes ejecutar código arbitrario a través de una red. TOCTOU es un tipo específico de vulnerabilidad de condición de carrera que se produce cuando hay un intervalo de tiempo entre la comprobación del estado de un recurso y el uso de ese recurso.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.1 | CVE-2025-29833 | Microsoft Virtual Machine Bus (VMBus) |
Tabla 7. Vulnerabilidad crítica en Microsoft Virtual Machine Bus (VMBus)