Microsoft ha lanzado parches para dos vulnerabilidades significativas en Microsoft Office que podrían permitir a los atacantes ejecutar código malicioso en los sistemas afectados.
Los defectos, rastreados como CVE-2025-54910 y CVE-2025-54906, se revelaron el 9 de septiembre de 2025 y afectaron varias versiones de la suite de productividad popular.
Si bien Microsoft ha evaluado la explotación como “menos probable” para ambas vulnerabilidades en este momento, su potencial para la ejecución de código remoto garantiza la atención inmediata de los usuarios y administradores.
Las vulnerabilidades difieren en sus métodos de explotación y gravedad, y una califica como crítica y la otra como importante.
Vulnerabilidades críticas de Microsoft Office
El más severo de los dos defectos, CVE-2025-54910es una vulnerabilidad de desbordamiento de búfer de almacenamiento enm.atal crítico.
Este tipo de debilidad, catalogada como CWE-122, puede permitir que un atacante no autorizado ejecute código arbitrario localmente en una máquina de destino. Un aspecto particularmente peligroso de esta vulnerabilidad es que el panel de vista previa en Microsoft Office sirve como un vector de ataque.
Esto significa que un atacante podría desencadenar el exploit sin ninguna interacción del usuario más allá de ellos simplemente recibiendo y viendo un archivo malicioso en una ventana de Explorer.
Aunque el ataque se ejecuta localmente, el término “remoto” en el título de la vulnerabilidad se refiere a la ubicación del atacante, destacando que no necesitan acceso previo a la máquina de la víctima.
La segunda vulnerabilidad, CVE-2025-54906se califica como importante y proviene de una condición de uso libre de uso, rastreado como CWE-416.
Este defecto también permite la ejecución del código remoto, pero su vector de explotación difiere significativamente del desbordamiento basado en el montón. Para explotar esta vulnerabilidad, un atacante debe elaborar un archivo malicioso e diseñar socialmente al usuario para que lo abra.
A diferencia del otro defecto, el panel de vista previa no es un vector de ataque para CVE-2025-54906, lo que significa que el usuario debe comprometerse activamente con el contenido malicioso.
Este requisito para la interacción del usuario es una razón clave para su clasificación de gravedad más baja en comparación con la vulnerabilidad del panel de vista previa.
Mitigaciones
Microsoft ha publicado actualizaciones de seguridad para abordar estas vulnerabilidades para el software más afectado. La compañía aconseja a los clientes que apliquen todas las actualizaciones ofrecidas para el software instalado en sus sistemas para garantizar una protección integral.
Cabe señalar que las actualizaciones de seguridad para Microsoft Office LTSC para Mac 2021 y 2024 no están disponibles de inmediato, pero se publicarán en breve.
Microsoft notificará a los clientes a través de una revisión de la información de CVE una vez que estas actualizaciones estén listas. Dada la naturaleza seria de los defectos de ejecución de código remoto, se recomienda encarecidamente a los usuarios que instalaran los parches lo antes posible para mitigar el riesgo de explotación potencial.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}