Microsoft ha confirmado la existencia de múltiples vulnerabilidades de seguridad críticas que afectan sus servicios de nube básicos, incluida una que ha recibido la calificación de gravedad del sistema de puntuación de vulnerabilidad común (CVSS) de 10.0.
A pesar de la naturaleza crítica de estos defectos, Microsoft informa que no se sabe que ninguna de las vulnerabilidades confirmadas haya sido explotada en la naturaleza, y ninguna había sido revelada públicamente antes de su confirmación. Es importante destacar que los usuarios no necesitan tomar ninguna medida para protegerse de estas vulnerabilidades, ya que Microsoft ya ha implementado mitigaciones.
Microsoft ha confirmado un total de cuatro vulnerabilidades de seguridad en la nube. Estos incluyen CVE-2025-29813, una elevación de vulnerabilidad de privilegio de Azure con una calificación CVSS de 10.0; CVE-2025-29972, un proveedor de recursos de almacenamiento de Azure que falsifica la vulnerabilidad con una calificación 9.9; CVE-2025-29827, una elevación de automatización de Azure de vulnerabilidad de privilegios también calificó 9.9; y CVE-2025-47733, una vulnerabilidad de divulgación de información de Microsoft Power Apps con una calificación 9.1.
La vulnerabilidad más severa, CVE-2025-29813, es un problema de secuestro de token de tubería de Azure DevOps. Microsoft explicó que proviene de Visual Studio manejando incorrectamente las tokens de trabajo de tuberías. “Para explotar esta vulnerabilidad”, dijo Microsoft, “un atacante primero tendría que tener acceso al proyecto e intercambiar el token a corto plazo por una a largo plazo”, lo que puede extender su acceso.
CVE-2025-29972, la vulnerabilidad del proveedor de recursos de almacenamiento de Azure, es una falla de falsificación de solicitud del lado del servidor Azure. Microsoft declaró que esto podría permitir que un atacante autorizado realice una “suplantación de suplantación” en una red, lo que permite a un actor de amenaza exitoso distribuir solicitudes maliciosas que se hacen pasar por servicios y usuarios legítimos.
La elevación de la automatización de Azure de la vulnerabilidad de privilegios, CVE-2025-29827, se debe a un problema de autorización inadecuado en la automatización de Azure. Una exploit exitosa podría permitir que un hacker elevara los privilegios a través de la red.
La cuarta vulnerabilidad, CVE-2025-47733, afecta a Microsoft Power Apps y es una falla de divulgación de información. Esta vulnerabilidad de falsificación de solicitud del lado del servidor podría permitir que un atacante revele información sobre la red.
Microsoft ha enfatizado que todas estas vulnerabilidades ya han sido mitigadas por la compañía. “Esta vulnerabilidad ya ha sido mitigada por Microsoft. No hay ninguna acción para los usuarios de este servicio”, dijo Microsoft sobre cada uno de los problemas de seguridad en la nube.
Estas divulgaciones son parte de un compromiso más amplio con la transparencia. El 27 de junio de 2024, el Centro de Respuesta de Seguridad de Microsoft (MSRC) anunció un compromiso con una mayor transparencia con respecto a las vulnerabilidades y exposiciones comunes de la nube (CVE), detallando los CVE de servicios en la nube una vez que han sido parcheados internamente.
Anteriormente, señaló Microsoft, “los proveedores de servicios en la nube se abstuvieron de revelar información sobre vulnerabilidades encontradas y resueltas en los servicios en la nube, a menos que se requiriera acciones del cliente”. Sin embargo, con el valor de la transparencia total ahora reconocida, Microsoft confirmó: “Emitiremos CVE para vulnerabilidades críticas de servicios en la nube, independientemente de si los clientes deben instalar un parche o tomar otras acciones para protegerse”.
Esta iniciativa de transparencia se alinea con la iniciativa segura de Microsoft, que prioriza la implementación de nuevas protecciones de identidad, mejora la transparencia y garantiza una respuesta de vulnerabilidad más rápida. “A medida que nuestra industria madura y migra cada vez más a los servicios basados en la nube”, afirmó Microsoft, “debemos ser transparentes sobre las vulnerabilidades significativas de seguridad cibernética que se encuentran y fijas”.
Google también ha realizado un movimiento similar hacia una mayor transparencia de la vulnerabilidad de la nube. El 12 de noviembre de 2024, Google anunció que expandiría su programa CVE para emitir CVE para las vulnerabilidades críticas de Google Cloud, incluso cuando no se necesita acción del cliente. Phil Venables, el director de seguridad de la información de Google Cloud, dijo en ese momento: “La transparencia y la acción compartida, para aprender y mitigar las clases enteras de vulnerabilidad, es una parte vital de contrarrestar a los malos actores”.
Esta historia se publicó originalmente el 9 de mayo de 2025, y se actualizó el 11 de mayo de 2025, para incluir más detalles sobre los movimientos de transparencia CVE en la nube de Microsoft y Google.
Source: Microsoft confirma las vulnerabilidades críticas en la nube; No se necesita acción
