13 de mayo de 2025

Microsoft corrige cuatro fallos críticos en sus servicios cloud, uno alcanza la máxima gravedad 10/10

Microsoft ha confirmado la existencia de cuatro vulnerabilidades críticas en Azure y Power Apps, entre las que destaca CVE-2025-29813 con la puntuación CVSS 10/10, lo que la sitúa en el nivel más alto de criticidad. El resto también resulta grave (dos con 9,9 y una con 9,1) y aunque todas han sido parcheadas del lado del proveedor, ilustran los riesgos inherentes a los entornos cloud multi-tenant.

¿Debo hacer algo?

Microsoft afirma que ya mitigó los cuatro fallos en la propia plataforma y no requiere acción por parte de los clientes .

Aun así, se aconseja:

  1. Revisar los registros de pipelines, runbooks y almacenamiento en busca de actividades inusuales (tokens reutilizados, peticiones internas sospechosas, etc.).
  2. Aplicar principio de mínimo privilegio en identidades, service principals y suscripciones de Azure.
  3. Segmentar entornos de desarrollo y producción, evitando que un acceso limitado pueda escalar a recursos sensibles.
  4. Monitorizar métricas y alertas de Defender for Cloud o soluciones SIEM para detectar SSRF y uso anómalo de tokens.

Mantener una visibilidad continua y practicar hardening en permisos sigue siendo la mejor defensa cuando la “superficie” está en la nube del proveedor.

Más información:

La entrada Microsoft corrige cuatro fallos críticos en sus servicios cloud, uno alcanza la máxima gravedad 10/10 se publicó primero en Una Al Día.


☞ El artículo completo original de Adrián Vidal lo puedes ver aquí
Publicado a las 3:40 p.m.

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)