Microsoft ha solucionado 84 vulnerabilidades en su actualización de seguridad de septiembre de 2025. Los parches de este mes solucionan dos vulnerabilidades zero-day reveladas públicamente y ocho vulnerabilidades críticas, junto con 74 vulnerabilidades adicionales de distintos niveles de gravedad.
Análisis de riesgos de septiembre de 2025
Los principales tipos de riesgo de este mes por técnica de explotación son la elevación de privilegios con 38 parches (45 %), la ejecución remota de código (RCE) con 21 parches (26 %) y la divulgación de información con 13 (16 %). Cabe destacar que muchas de las CVE críticas anunciadas este mes requieren cierto grado de interacción por parte del usuario.
Figura 1. Desglose de las técnicas de explotación del Patch Tuesday de septiembre de 2025.
Microsoft Windows recibió el mayor número de parches este mes, con 58, seguido de las actualizaciones de seguridad ampliadas (ESU), con 35, y Microsoft Office, con 17.
Figura 2. Desglose de las familias de productos afectadas por el Patch Tuesday de septiembre de 2025.
Vulnerabilidad Zero-Day revelada públicamente en Windows SMB
CVE-2025-55234 es una importante vulnerabilidad de elevación de privilegios que afecta al servidor SMB de Windows y tiene una puntuación CVSS de 8,8. Esta vulnerabilidad permite a atacantes remotos no autenticados realizar ataques de retransmisión aprovechando mecanismos de autenticación inadecuados en las configuraciones del servidor SMB a través de una conexión de red. Aunque la vulnerabilidad se ha revelado públicamente, no hay pruebas de que se esté explotando activamente, aunque se considera que es más probable que se explote.
La vulnerabilidad afecta a los sistemas Windows que ejecutan el servidor SMB sin medidas de refuerzo adecuadas, como la firma del servidor SMB o la protección ampliada para la autenticación (EPA). Cuando se explota con éxito, los atacantes pueden realizar ataques de retransmisión que permiten la elevación de privilegios, lo que les permite obtener los privilegios de los usuarios comprometidos y comprometer la confidencialidad, integridad y disponibilidad de los sistemas afectados.
| Severity | CVSS Score | CVE | Description |
| Important | 8.8 | CVE-2025-55234 | Windows SMB Elevation of Privilege Vulnerability |
Tabla 1. Vulnerabilidad zero-day publicada públicamente en Windows SMB
Vulnerabilidad Zero-Day revelada públicamente en el manejo inadecuado de condiciones excepcionales en Newtonsoft.Json
CVE-2024-21907 es una vulnerabilidad importante de denegación de servicio que afecta a las versiones anteriores a 13.0.1 de la biblioteca Newtonsoft.Json, incorporada en Microsoft SQL Server. Tiene una puntuación CVSS de 7,5. Esta vulnerabilidad permite a los atacantes provocar una excepción StackOverflow pasando datos manipulados al método JsonConvert.DeserializeObject, lo que da lugar a condiciones de denegación de servicio. Dependiendo del uso de la biblioteca, un atacante remoto no autenticado podría provocar esta condición de denegación de servicio.
Aunque la vulnerabilidad se ha revelado públicamente, no hay pruebas de que se esté explotando activamente y se considera poco probable que se produzca. La vulnerabilidad afecta a varias versiones de SQL Server que utilizan la biblioteca Newtonsoft.Json vulnerable, incluidas SQL Server 2022, 2019, 2017 y 2016. Si se explota con éxito, los atacantes pueden provocar fallos en las aplicaciones e interrupciones del servicio, lo que compromete la disponibilidad de los sistemas SQL Server afectados.
| Severity | CVSS Score | CVE | Description |
| Important | 7.5 | CVE-2024-21907 | Improper Handling of Exceptional Conditions in Newtonsoft.Json |
Tabla 2. Vulnerabilidad zero-day revelada públicamente en el manejo inadecuado de condiciones excepcionales en Newtonsoft.Json.
Vulnerabilidad crítica en Windows NTLM
CVE-2025-54918 es una vulnerabilidad crítica de elevación de privilegios que afecta a Windows NTLM y tiene una puntuación CVSS de 8,8. Esta vulnerabilidad permite a los atacantes remotos autenticados con privilegios bajos elevar sus privilegios al nivel del SYSTEM aprovechando mecanismos de autenticación inadecuados en Windows NTLM a través de una conexión de red.
La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera más probable que se produzca. La vulnerabilidad afecta a los sistemas Windows que utilizan la autenticación NTLM y puede explotarse de forma remota desde Internet con una complejidad de ataque baja.
La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera que es más probable que se explote. La vulnerabilidad afecta a los sistemas Windows que utilizan la autenticación NTLM y puede explotarse de forma remota desde Internet con una complejidad de ataque baja, sin necesidad de interacción por parte del usuario. Cuando se explota con éxito, los atacantes pueden obtener privilegios del SYSTEM, lo que les permite comprometer completamente la confidencialidad, integridad y disponibilidad de los sistemas Windows afectados.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.8 | CVE-2025-54918 | Windows NTLM Elevation of Privilege Vulnerability |
Tabla 3. Vulnerabilidad crítica en Windows NTLM
Vulnerabilidades críticas en Microsoft Office
CVE-2025-54910 es una vulnerabilidad crítica de ejecución remota de código que afecta a Microsoft Office con una puntuación CVSS de 8,4. Esta vulnerabilidad permite a los atacantes locales no autenticados ejecutar código arbitrario aprovechando un desbordamiento de búfer basado en el montón en Microsoft Office sin necesidad de interacción por parte del usuario. Aunque la vulnerabilidad no se ha revelado públicamente, no hay pruebas de que se esté explotando activamente y se considera poco probable que se explote. La vulnerabilidad afecta a las aplicaciones de Microsoft Office y puede explotarse a través del panel de vista previa como vector de ataque, con una complejidad de ataque baja y sin necesidad de privilegios.
| Severity | CVSS Score | CVE | Description |
| Critical | 8.4 | CVE-2025-54910 | Microsoft Office Remote Code Execution Vulnerability |
Tabla 4. Vulnerabilidad crítica en Microsoft Office
Vulnerabilidades críticas en el componente gráfico de Windows
CVE-2025-55228 es una vulnerabilidad crítica de ejecución remota de código que afecta al componente gráfico de Windows y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios bajos ejecutar código arbitrario aprovechando una condición de carrera y una condición de uso después de la liberación en Windows Win32K – GRFX. Este componente es parcialmente responsable de la interfaz gráfica de usuario que se muestra al usuario. La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera poco probable que se explote debido a la alta complejidad del ataque. Una explotación exitosa desde un invitado Hyper-V con privilegios bajos podría permitir a los atacantes escapar del límite de virtualización y ejecutar código en el sistema host Hyper-V.
CVE-2025-53800 es una vulnerabilidad crítica de elevación de privilegios que afecta al componente gráfico de Windows y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios bajos obtener privilegios del SYSTEM al explotar la inicialización incorrecta de los recursos en el componente gráfico de Microsoft. La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera poco probable que se explote. El ataque tiene una complejidad baja y no requiere la interacción del usuario, lo que hace que sea relativamente sencillo de explotar una vez que se obtiene el acceso local.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.8 | CVE-2025-55228 | Windows Graphics Component Remote Code Execution Vulnerability |
| Critical | 7.8 | CVE-2025-53800 | Windows Graphics Component Elevation of Privilege Vulnerability |
Tabla 5. Vulnerabilidades críticas en el componente gráfico de Windows
Vulnerabilidad crítica en Windows Hyper-V
CVE-2025-55224 es una vulnerabilidad crítica de ejecución remota de código que afecta a Windows Hyper-V y tiene una puntuación CVSS de 7,8. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios bajos ejecutar código arbitrario aprovechando una condición de carrera y una condición de uso después de la liberación en Windows Win32K – GRFX. La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera poco probable que se explote debido a la alta complejidad del ataque. Una explotación exitosa desde un invitado Hyper-V con privilegios bajos podría permitir a los atacantes escapar del límite de la virtualización y ejecutar código en el sistema host Hyper-V.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.8 | CVE-2025-49717 | Windows Hyper-V Remote Code Execution Vulnerability |
Tabla 6. Vulnerabilidad crítica en Windows Hyper-V
Vulnerabilidades críticas en el núcleo gráfico
CVE-2025-55236 es una vulnerabilidad crítica de ejecución remota de código que afecta al núcleo gráfico y tiene una puntuación CVSS de 7,3. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios bajos ejecutar código arbitrario aprovechando una condición de carrera de tiempo de comprobación y tiempo de uso (TOCTOU) y una confusión de tipos en el núcleo gráfico. La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera poco probable que esto ocurra. El ataque requiere la interacción del usuario y podría desencadenarse mediante tácticas de ingeniería social, como convencer a la víctima para que descargue y abra un archivo especialmente diseñado.
CVE-2025-55226 es una vulnerabilidad crítica de ejecución remota de código que afecta al núcleo gráfico y tiene una puntuación CVSS de 6,7. Esta vulnerabilidad permite a los atacantes locales autenticados con privilegios bajos ejecutar código arbitrario aprovechando una condición de carrera en el núcleo gráfico. La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera poco probable debido a la alta complejidad del ataque, que requiere que el atacante gane una condición de carrera. El ataque requiere la interacción del usuario y podría desencadenarse mediante tácticas de ingeniería social, como convencer a la víctima para que descargue y abra un archivo especialmente diseñado.
| Severity | CVSS Score | CVE | Description |
| Critical | 7.3 | CVE-2025-55236 | Graphics Kernel Remote Code Execution Vulnerability |
| Critical | 6.7 | CVE-2025-55226 | Graphics Kernel Remote Code Execution Vulnerability |
Tabla 7. Vulnerabilidades críticas en el núcleo de gráficos
Vulnerabilidad crítica en el componente de imágenes de Windows
CVE-2025-53799 es una vulnerabilidad crítica de divulgación de información que afecta al componente de imágenes de Windows y tiene una puntuación CVSS de 5,5. Esta vulnerabilidad permite a atacantes no autorizados divulgar información localmente aprovechando una condición de recurso no inicializado en el componente de imágenes de Windows. La vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se esté explotando activamente, aunque se considera poco probable que se explote debido a la necesidad de interacción del usuario. Para explotar con éxito la vulnerabilidad, el atacante debe enviar un archivo malicioso a un usuario y convencerlo de que lo abra, lo que podría permitir al atacante leer pequeñas partes de la memoria del montón.
| Severity | CVSS Score | CVE | Description |
| Critical | 5.5 | CVE-2025-53799 | Windows Imaging Component Information Disclosure Vulnerability |
Tabla 8. Vulnerabilidad crítica en el componente de imágenes de Windows