Microsoft lanzó actualizaciones de seguridad críticas, abordando tres vulnerabilidades serias en Microsoft Office que podrían permitir a los atacantes ejecutar código remoto en los sistemas afectados.
Las vulnerabilidades, rastreadas como CVE-2025-53731, CVE-2025-53740 y CVE-2025-53730, afectan múltiples versiones de Microsoft Office y representan riesgos de seguridad significativos para organizaciones y usuarios individuales de todo el mundo.
Control de llave
1. Fola crítica de la oficina Habilitar la ejecución del código a través de la vista previa del documento
2. Todas las versiones de la oficina 2016-2024 afectadas, millones en riesgo
3. Parches lanzados el 12 de agosto – Instale inmediatamente
Uso de defectos sin después
Las vulnerabilidades recientemente reveladas provienen de los problemas de corrupción de memoria de uso sin uso, clasificados bajo CWE-416 en la base de datos de enumeración de debilidad común.
Tanto CVE-2025-53731 como CVE-2025-53740 recibieron calificaciones de gravedad crítica con puntajes base CVSS de 8.4, mientras que CVE-2025-53730, que afectó a Microsoft Office Visio, se calificó como importante con un puntaje CVSS de 7.8.
Estas vulnerabilidades comparten un patrón de ataque estándar donde los atacantes no autorizados pueden explotar fallas de gestión de memoria para ejecutar código arbitrario localmente en los sistemas de destino.
Las especificaciones técnicas revelan los vectores de ataque, con ambas vulnerabilidades críticas con una cadena vectorial CVSS de CVS: 3.1/AV: L/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H/E: U/RL: O/RC: C.
Esto indica una baja complejidad de ataque, no se requieren privilegios y no se necesita interacción del usuario para la explotación.
Particularmente alarmante es que el panel de vista previa sirve como un vector de ataque para CVE-2025-53731 y CVE-2025-53740, lo que significa que los usuarios podrían verse comprometidos simplemente mediante una vista previa de documentos de oficina maliciosos.
Las vulnerabilidades afectan a una gama integral de productos de Microsoft Office, incluidos Microsoft Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 y Microsoft 365 aplicaciones para empresas en arquitecturas de 32 bits y 64 bits.
Los usuarios de Mac también están en riesgo, con Microsoft Office LTSC para versiones Mac 2021 y 2024 que requieren actualizaciones inmediatas. El impacto generalizado abarca millones de usuarios en entornos corporativos y de consumo a nivel mundial.
Investigadores de seguridad 0x140CE (LLMOLE), Li Shuang y Willj con el Instituto de Investigación de Vulnerabilidad, y a los investigadores de ZSCALER’s Denacollabz fueron acreditados por descubrir estas vulnerabilidades a través de procesos de divulgación coordinados.
El Centro de Respuesta a Seguridad de Microsoft (MSRC) ha confirmado que ninguna de estas vulnerabilidades ha sido revelada o explotada públicamente en la naturaleza, con evaluaciones de explotabilidad que van desde la “explotación poco probable” hasta la “explotación menos probable”.
CVETITLECVSS 3.1 ScoreSeverityCVE-2025-53731Microsoft Office Remote Code Ejecution Vulnerabilidad8.4 CriticalCVE-2025-53740Microsoft Code Remote Code Execution Vulnerability8.4 CriticalCVE-2025-5373333333333333333333333333333333333333730 Microsoff Office Visio Remote Ejecutabilidad Vulnerabilidad 7.8imortante
Mitigaciones
Microsoft ha lanzado actualizaciones de seguridad integrales para todas las versiones de la oficina afectadas, con la actualización KB5002756 que aborda las vulnerabilidades en las ediciones de Office 2016.
Para versiones de oficina más nuevas, las actualizaciones se entregan a través de mecanismos de clic para correr, con información detallada disponible a través de los canales de lanzamiento de seguridad oficiales de Microsoft.
Las organizaciones deben priorizar la implementación inmediata de estas actualizaciones, dada la naturaleza crítica de las vulnerabilidades y el potencial de explotación del panel de vista previa.
Los equipos de seguridad deben establecer programas integrales de gestión de vulnerabilidad que se extiendan más allá de la gestión tradicional de parches, incorporando alimentos de inteligencia de amenazas y monitoreo proactivo para indicadores de compromiso (COI).
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
