Producto(s) afectado(s): 

• Azure Monitor Agent
• Microsoft Brokering File System
• Microsoft Edge (Chromium-based)
• Suite Microsoft Office y Teams
• Microsoft PC Manager
• SQL Server
• Windows SMB
• Windows SPNEGO Extended Negotiation

y en otros productos

Descripción

Se ha reportado una vulnerabilidad crítica denominada CVE-2025-47981 con un score 9.8, de tipo RCE que afecta al componente SPNEGO Extended Negotiation (NEGOEX) Security Mechanism. Además se han publicado en total 130 vulnerabiliades que afectan a varios produtos de Microsoft en su ultimo Microsoft’s Patch Tuesday.

Dicha vulnerabilidad CVE-2025-47981, es un desbordamiento de búfer basado en montón (Head Buffer Overflow) en SPNEGO Extended Negotiation de Windows permite que un atacante no autorizado ejecute código a través de una red.

De todas las vulnerabilidad publicadas, 53 de estas deficiencias se clasifican como errores de escalada de privilegios, seguidos de 42 como ejecución remota de código, 17 como divulgación de información y 8 como omisiones de funciones de seguridad.

Estos parches se suman a otras dos vulnerabilidades corregidas por la compañía en el navegador Edge.

Otra vulnerabilidad corregida importante que se menciona como públicamente conocida es una falla de divulgación de información en Microsoft SQL Server ( CVE-2025-49719 , puntuación CVSS: 7,5) que podría permitir que un atacante no autorizado pierda memoria no inicializada.

Para ver el listado de todas las vulnerabilidades publicadas puede dirigirse al siguiente enlace:

https://msrc.microsoft.com/update-guide/releaseNote/2025-Jul

Solución:

Se recomienda aplicar los parches de seguridad publicados por el fabricante.

Información adicional:

• https://nvd.nist.gov/vuln/detail/CVE-2025-47981
• https://msrc.microsoft.com/update-guide/releaseNote/2025-Jul