Microsoft ha corregido 172 vulnerabilidades en su actualización de seguridad de octubre de 2025, lo que supone el mayor número de vulnerabilidades corregidas en un solo mes este año. Los parches de este mes solucionan dos vulnerabilidades divulgadas públicamente, tres vulnerabilidades de día cero y ocho vulnerabilidades críticas, junto con 159 vulnerabilidades adicionales de distintos niveles de gravedad.
Análisis de riesgos de octubre de 2025
Los principales tipos de riesgos de este mes por técnica de explotación son la elevación de privilegios con 80 parches (47 %), la ejecución remota de código (RCE) con 31 parches (18 %) y la divulgación de información con 28 parches (16 %).
Figura 1. Desglose de las técnicas de explotación del Patch Tuesday de octubre de 2025.
Microsoft Windows recibió el mayor número de parches este mes, con 134, seguido de Microsoft Office, con 18, y Azure, con 6.
Figura 2. Desglose de las familias de productos afectadas por el Patch Tuesday de octubre de 2025.
El fin del soporte técnico para Windows 10 ya está aquí
Como se anunció anteriormente, Windows 10 llegará oficialmente al final de su vida útil el 14 de octubre de 2025. Según Microsoft, para poder optar a las actualizaciones de seguridad extendidas para Windows 10, el host afectado debe actualizarse a la versión 22H2. Esto significa que los hosts normales de Windows 10 ya no recibirán actualizaciones de seguridad periódicas después de esta fecha. Puedes encontrar más información en el siguiente enlace: https://www.microsoft.com/en-us/windows/extended-security-updates
Vulnerabilidad revelada públicamente en el controlador del módem Agere de Windows
CVE-2025-24052 es una vulnerabilidad importante de elevación de privilegios que afecta al controlador del módem Agere de Windows y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios bajos elevar sus privilegios al nivel de administrador aprovechando una debilidad de desbordamiento del búfer basado en la pila en el controlador del módem Agere de terceros (ltmdm64.sys), que se incluye de forma nativa con los sistemas operativos Windows compatibles.
La vulnerabilidad se ha hecho pública. No hay pruebas de que se esté explotando activamente, aunque se considera más probable que se explote con el código de prueba de concepto disponible. Esta vulnerabilidad afecta a todas las versiones compatibles de los sistemas Windows con el controlador de módem Agere y requiere acceso local para explotarse con baja complejidad de ataque, lo que requiere privilegios bajos pero ninguna interacción del usuario.
Cuando se explota con éxito, los atacantes pueden obtener privilegios de administrador, lo que les permite comprometer completamente la confidencialidad, integridad y disponibilidad de los sistemas Windows afectados. Cabe destacar que esta vulnerabilidad se puede explotar incluso si el módem no se está utilizando activamente. Microsoft ha eliminado el controlador ltmdm64.sys en la actualización acumulativa de octubre, lo que provocará que el hardware del módem fax que depende de este controlador deje de funcionar en Windows.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-24052 | Windows Agere Modem Driver Elevation of Privilege Vulnerability |
Tabla 1. Vulnerabilidad divulgada públicamente en Windows Agere Modem Driver
Vulnerabilidad publicada en la implementación de referencia TCG TPM2.0
CVE-2025-2884 es una vulnerabilidad importante de divulgación de información que afecta a la implementación de referencia TCG TPM2.0 y tiene una puntuación CVSS de 5,3. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios bajos divulgar información confidencial aprovechando una debilidad de lectura fuera de límites en la función auxiliar CryptHmacSign debido a la falta de validación del esquema de firma con el algoritmo de la clave de firma.
La vulnerabilidad se ha difundido públicamente. No hay pruebas de que se esté explotando activamente, aunque se considera poco probable que se explote. La vulnerabilidad afecta a los sistemas que utilizan la implementación de referencia TCG TPM2.0 y requiere acceso local para explotarse con una alta complejidad de ataque, lo que requiere privilegios bajos pero ninguna interacción del usuario.
Cuando se explota con éxito, los atacantes pueden lograr un alto impacto en la confidencialidad a través de la divulgación de información y un bajo impacto en la disponibilidad de los sistemas afectados, pero no pueden comprometer la integridad del sistema. Las actualizaciones documentadas de Windows incorporan actualizaciones en la implementación de referencia TCG TPM2.0 que abordan esta vulnerabilidad.
| Severity | CVSS Score | CVE | Description |
| Important | 5.3 | CVE-2025-2884 | Out-of-Bounds Read Vulnerability in TCG TPM2.0 Reference Implementation |
Tabla 2. Vulnerabilidad publicada en la implementación de referencia TCG TPM2.0.
Vulnerabilidad Zero-Day en el Administrador de conexiones de acceso remoto de Windows
CVE-2025-59230 es una vulnerabilidad importante de elevación de privilegios que afecta al Administrador de conexiones de acceso remoto de Windows y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios bajos elevar sus privilegios al nivel del SYSTEM aprovechando una debilidad de control de acceso inadecuado en el Administrador de conexiones de acceso remoto de Windows y obteniendo acceso local al sistema.
En octubre de 2025, se identificó un binario de elevación de privilegios locales que explotaba una vulnerabilidad Zero-Day (en ese momento). Desde entonces, Microsoft ha revelado, corregido y reconocido que esta vulnerabilidad, ahora identificada como CVE-2025-59230, ha sido explotada en el mundo real. Se estima que al menos un agente malicioso ha aprovechado o tiene previsto aprovechar a corto plazo la vulnerabilidad CVE-2025-59230 recientemente revelada. Aunque esta actividad no se atribuye actualmente a ningún adversario rastreado ni se ajusta a una motivación operativa específica, investigaciones adicionales revelaron que probablemente fue llevada a cabo por un grupo de ciberdelincuentes.
La vulnerabilidad afecta a los sistemas Windows con Remote Access Connection Manager y requiere acceso local para explotarse con baja complejidad de ataque, lo que requiere pocos privilegios, pero ninguna interacción del usuario. Cuando se explota con éxito, los atacantes pueden obtener privilegios del SYSTEM, lo que les permite comprometer completamente la confidencialidad, integridad y disponibilidad de los sistemas Windows afectados.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-59230 | Windows Remote Access Connection Manager Elevation of Privilege Vulnerability |
Tabla 3. Vulnerabilidad importante zero-day en el Administrador de conexiones de acceso remoto de Windows.
Vulnerabilidad Zero-Day en el controlador del módem Agere de Windows
CVE-2025-24990 es una vulnerabilidad importante de elevación de privilegios que afecta al controlador del módem Agere de Windows y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios bajos elevar sus privilegios al nivel de administrador aprovechando una debilidad de desreferenciación de punteros no confiables en el controlador de módem Agere de terceros (ltmdm64.sys) que se incluye de forma nativa con los sistemas operativos Windows compatibles.
Hay pruebas de explotación activa en el mundo real con código de explotación funcional disponible, y se ha detectado la explotación. La vulnerabilidad afecta a todas las versiones compatibles de los sistemas Windows con el controlador de módem Agere y requiere acceso local para explotarse con baja complejidad de ataque, lo que requiere privilegios bajos pero ninguna interacción del usuario. Cuando se explota con éxito, los atacantes pueden obtener privilegios de administrador, lo que les permite comprometer completamente los sistemas Windows afectados. Cabe destacar que esta vulnerabilidad puede explotarse incluso si el módem no se está utilizando activamente, y Microsoft ha eliminado el controlador ltmdm64.sys en la actualización acumulativa de octubre, lo que provocará que el hardware del módem fax que depende de este controlador deje de funcionar en Windows.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2025-24990 | Windows Agere Modem Driver Elevation of Privilege Vulnerability |
Tabla 4. Vulnerabilidad importante zero-day en el administrador de controladores de módem Agere de Windows.
Vulnerabilidad Zero-Day en Secure Boot en IGEL OS anterior a la versión 11
CVE-2025-47827 es una vulnerabilidad importante que afecta a las versiones de IGEL OS anteriores a la versión 11 y tiene una puntuación CVSS de 4,6. Esta vulnerabilidad permite a atacantes físicos no autenticados eludir el arranque seguro aprovechando el uso de una clave caducada en el módulo igel-flash-driver, que verifica incorrectamente las firmas criptográficas y permite montar un sistema de archivos raíz creado a partir de una imagen SquashFS no verificada.
Hay pruebas de su explotación activa en el mundo real con exploits funcionales disponibles. La vulnerabilidad requiere acceso físico para su explotación con baja complejidad de ataque, sin necesidad de privilegios ni interacción del usuario. Cuando se explota con éxito, los atacantes pueden eludir las funciones de seguridad de Secure Boot, lo que puede causar un alto impacto en la disponibilidad, integridad y confidencialidad de los sistemas afectados.
| Severity | CVSS Score | CVE | Description |
| Important | 4.6 | CVE-2025-47827 | Secure Boot Bypass in IGEL OS Before Version 11 |
Tabla 5. Vulnerabilidad importante zero-day en Secure Boot en el sistema operativo IGEL anterior a la versión 11.
Vulnerabilidad crítica en el componente gráfico de Microsoft
CVE-2025-49708 es una vulnerabilidad crítica de elevación de privilegios que afecta al componente gráfico de Microsoft y tiene una puntuación CVSS de 9,9. Esta vulnerabilidad permite a los atacantes remotos autenticados con privilegios bajos elevar sus privilegios al nivel del SYSTEM aprovechando una debilidad de uso después de la liberación en el componente gráfico de Microsoft a través de una conexión de red.
La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera poco probable que se explote. La vulnerabilidad afecta a los sistemas Windows que utilizan el componente gráfico de Microsoft y puede explotarse de forma remota desde Internet con una complejidad de ataque baja, sin necesidad de interacción por parte del usuario.
Cuando se explota con éxito, los atacantes pueden obtener privilegios del SYSTEM accediendo a una máquina virtual (VM) local como invitada para atacar el sistema operativo host, lo que les permite comprometer completamente la confidencialidad, integridad y disponibilidad de los sistemas Windows afectados e impactar en otras máquinas virtuales que se ejecutan en el mismo host debido a la naturaleza cambiante del alcance de esta vulnerabilidad.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.9 | CVE-2025-49708 | Microsoft Graphics Component Elevation of Privilege Vulnerability |
Tabla 6. Vulnerabilidad crítica en el componente gráfico de Microsoft.
Vulnerabilidad crítica en el Windows Server Update Service
CVE-2025-59287 es una vulnerabilidad crítica de ejecución remota de código que afecta al Windows Server Update Service (WSUS) y tiene una puntuación CVSS de 9,8. Esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar código arbitrario aprovechando la deserialización insegura de datos no fiables en WSUS a través de una conexión de red.
La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera probable que se haga. La vulnerabilidad afecta a los sistemas Windows que ejecutan WSUS y puede explotarse de forma remota desde Internet con una complejidad de ataque baja, sin necesidad de privilegios ni interacción del usuario.
Cuando se explota con éxito, los atacantes pueden lograr la ejecución remota de código enviando un evento diseñado que desencadena la deserialización insegura de objetos en un mecanismo de serialización heredado, lo que potencialmente les permite comprometer por completo la confidencialidad, integridad y disponibilidad de los sistemas WSUS afectados.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2025-59287 | Windows Server Update Service (WSUS) Remote Code Execution Vulnerability |
Tabla 7. Vulnerabilidad crítica en el Windows Server Update Service (WSUS)
Vulnerabilidades críticas en Microsoft Office
CVE-2025-59236 es una vulnerabilidad crítica de ejecución remota de código que afecta a Microsoft Excel y tiene una puntuación CVSS de 8,4. Esta vulnerabilidad permite a los atacantes locales no autenticados ejecutar código arbitrario aprovechando una debilidad de uso después de la liberación en Microsoft Office Excel a través del acceso local al sistema. Cuando se explota con éxito, los atacantes pueden lograr la ejecución de código arbitrario localmente en el sistema afectado.
CVE-2025-59234 es una vulnerabilidad crítica de ejecución remota de código que afecta a Microsoft Office y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a los atacantes locales no autenticados ejecutar código arbitrario aprovechando una debilidad de uso después de la liberación en Microsoft Office a través del acceso local al sistema con la interacción necesaria del usuario.
CVE-2025-59227 es una vulnerabilidad crítica de ejecución remota de código que afecta a Microsoft Office y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a los atacantes locales no autenticados ejecutar código arbitrario aprovechando una vulnerabilidad de uso después de la liberación mediante el acceso local al sistema con la interacción necesaria del usuario.
Las vulnerabilidades no se han revelado públicamente y no hay pruebas de que se estén explotando activamente. La explotación requiere acceso local con una complejidad de ataque baja. No se necesitan privilegios, pero se requiere la interacción del usuario. La explotación exitosa permite la ejecución de código arbitrario cuando un usuario abre un archivo malicioso. El panel de vista previa ha sido un vector de ataque común en vulnerabilidades similares.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.4 | CVE-2025-59236 | Microsoft Excel Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-59234 | Microsoft Office Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-59227 | Microsoft Office Remote Code Execution Vulnerability |
Tabla 8. Vulnerabilidad crítica en Microsoft Office
Vulnerabilidades críticas en Microsoft Azure
CVE-2025-59291 es una vulnerabilidad crítica de elevación de privilegios que afecta a las instancias confidenciales de Azure Container y tiene una puntuación CVSS de 8,2. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios elevados elevar sus privilegios aprovechando el control externo de la debilidad del nombre o la ruta del archivo en las instancias confidenciales de Azure Container a través del acceso local al sistema.
La vulnerabilidad requiere acceso local para explotarse con baja complejidad de ataque, lo que requiere altos privilegios pero no interacción del usuario. Cuando se explota con éxito, los atacantes pueden obtener la ejecución de código dentro del contenedor sidecar confidencial de ACI engañando al sistema para que monte un recurso compartido de archivos malicioso en una ubicación sensible, escalando desde el control del host a contenedores confidenciales y permitiéndoles potencialmente comprometer completamente los sistemas afectados.
CVE-2025-59292 es una vulnerabilidad crítica de elevación de privilegios que afecta a Azure Compute Gallery y tiene una puntuación CVSS de 8,2. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios elevados elevar sus privilegios aprovechando el control externo de la vulnerabilidad del nombre de archivo o la ruta en Azure Compute Gallery a través del acceso local al sistema.
La vulnerabilidad requiere acceso local para explotarse con baja complejidad de ataque, lo que requiere altos privilegios pero no interacción del usuario. Cuando se explota con éxito, los atacantes pueden obtener la ejecución de código dentro del contenedor confidencial ACI sidecar engañando al sistema para que monte un recurso compartido de archivos malicioso en una ubicación sensible, escalando desde el control del host a contenedores confidenciales y permitiéndoles potencialmente comprometer por completo los sistemas afectados.
Debido a la naturaleza cambiante del alcance de estas vulnerabilidades, un ataque exitoso permite al host del contenedor ejecutar código en el entorno invitado objetivo, ampliando el impacto más allá del componente inicialmente comprometido. Las vulnerabilidades no se han revelado públicamente y no hay pruebas de que se estén explotando activamente, aunque se considera poco probable que se exploten.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.2 | CVE-2025-59291 | Confidential Azure Container Instances Elevation of Privilege Vulnerability |
| Critical | 8.2 | CVE-2025-59292 | Azure Compute Gallery Elevation of Privilege Vulnerability |
Tabla 9. Vulnerabilidades críticas en Microsoft Azure
Vulnerabilidad crítica en LibTIFF
CVE-2016-9535 es una vulnerabilidad crítica de ejecución remota de código que afecta a LibTIFF y tiene una puntuación CVSS de 4,0. Esta vulnerabilidad permite a los atacantes locales no autenticados provocar una denegación de servicio o ejecutar código arbitrario aprovechando una debilidad de desbordamiento del búfer de pila en los componentes tif_predict.h y tif_predict.c de LibTIFF al procesar tamaños de mosaico inusuales como YCbCr con submuestreo.
La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera poco probable que se explote. La vulnerabilidad afecta a los sistemas que utilizan LibTIFF 4.0.6 y requiere acceso local para explotarse con baja complejidad de ataque, sin necesidad de privilegios ni interacción del usuario. Cuando se explota con éxito, los atacantes pueden provocar fallos de afirmación en modo de depuración o desbordamientos de búfer en modo de lanzamiento, lo que podría provocar un impacto de baja disponibilidad en los sistemas afectados. Esta vulnerabilidad también se conoce como «Predictor heap-buffer-overflow» y se notificó como MSVR 35105, con actualizaciones de Windows que incorporan actualizaciones de LibTIFF que abordan esta dependencia del componente vulnerable de terceros.
| Severity | CVSS Score | CVE | Description |
| Critical | 4.0 | CVE-2016-9535 | LibTIFF Remote Code Execution Vulnerability |
Tabla 10. Vulnerabilidad crítica en LibTIFF