Alerta de Masiva de Ciberseguridad por Ejecución remota código en SharePoint Server de Microsoft, Inyección SQL en FortiWeb de Fortinet y exploit 0day por Canal alternativo sin protección en CrushFTP

  • 30/07/2025
  • 85
Alerta de Masiva de Ciberseguridad por Ejecución remota código en SharePoint Server de Microsoft, Inyección SQL en FortiWeb de Fortinet y exploit 0day por Canal alternativo sin protección en CrushFTP

1.    Ejecución remota de código en SharePoint Server de Microsoft

Importancia 5 - Crítica

Recursos Afectados

  • Microsoft SharePoint Server Subscription Edition;
  • Microsoft SharePoint Server 2019;
  •  Microsoft SharePoint Server 2016.

Descripción

Microsoft ha publicado información sobre una vulnerabilidad de severidad crítica que podría permitir ejecución remota de código.

Microsoft tiene conocimiento de ataques activos dirigidos contra clientes locales de SharePoint Server mediante el aprovechamiento de vulnerabilidades parcialmente abordadas en la actualización de seguridad de julio.

Solución

Microsoft ha publicado actualizaciones de seguridad que protegen completamente a los clientes que usan SharePoint Subscription Edition y SharePoint 2019:

  • Microsoft SharePoint Server Subscription Edition: Microsoft SharePoint Server Subscription Edition (KB5002768).
  • Microsoft SharePoint Server 2019: Microsoft SharePoint Server Subscription Edition (KB5002754).

Se está trabajando en actualizaciones de seguridad para SharePoint 2016. Por lo que, para mitigar posibles ataques, los clientes deben:

  1. Utilizar versiones compatibles de SharePoint Server local.
  2. Aplicar las últimas actualizaciones de seguridad, incluida la actualización de seguridad de julio de 2025.
  3. Asegurarse de que la interfaz de escaneo antimalware (AMSI) esté activada y configurada correctamente, con una solución antivirus adecuada, como Defender Antivirus.
  4. Implementar Microsoft Defender para la protección de endpoints o soluciones contra amenazas equivalentes.
  5. Rotar claves de máquina de SharePoint Server ASP.NET.

Detalle

La deserialización de datos no confiables en Microsoft SharePoint Server local permite que un atacante no autorizado ejecute código a través de la red obteniendo el control de servidores sin autenticación.

Se ha asignado el identificador CVE-2025-53770 para esta vulnerabilidad.

2.    Inyección SQL en FortiWeb de Fortinet

Importancia 5 - Crítica

Recursos Afectados

  • FortiWeb 7.6, versiones desde la 7.6.0 hasta la 7.6.3;
  • FortiWeb 7.4, versiones desde la 7.4.0 hasta la 7.4.7;
  • FortiWeb 7.2, versiones desde la 7.2.0 hasta la 7.2.10;
  • FortiWeb 7.0, versiones desde la 7.0.0 hasta la 7.0.10.

Descripción

Kentaro Kawane de GMO Cybersecurity ha informado de esta vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante, no autenticado, ejecutar, sin autorización, código SQL o comandos a través de solicitudes HTTP o HTTPS manipuladas.

Fortinet ha observado que la vulnerabilidad CVE-2025-25257 se está explotando de forma activa.

Solución

Para cada versión actualizar a la siguiente versión o superior:

  • FortiWeb 7.6 - 7.6.4;
  • FortiWeb 7.4 - 7.4.8;
  • FortiWeb 7.2 - 7.2.11;
  • FortiWeb 7.0 - 7.0.11.

En caso de que no sea posible instalar la actualización, se recomienda deshabilitar la interfaz de administración HTTP/HTTPS.

Detalle

FortiWeb tiene una vulnerabilidad de neutralización incorrecta de elementos especiales en un comando SQL (inyección SQL / SQL injection) que puede permitir a un atacante, no autenticado, ejecutar, sin autorización, código SQL o comandos mediante una solicitud HTTP o HTTPS manipulada. De esta forma un atacante podría acceder a datos sensibles, alterar el contenido de la base de datos o comprometer el backend de los sistemas. Se ha asignado el identificador CVE-2025-25257 para esta vulnerabilidad.

3.    Canal alternativo sin protección en CrushFTP

Importancia 5 - Crítica

Recursos Afectados

  • Todas las versiones 10 anteriores a 10.8.5;
  • Todas las versiones 11 anteriores a 11.3.4_23.

Descripción

CrushFTP ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante remoto obtener acceso de administrador a través de HTTPS.

La empresa ha confirmado que se ha detectado un exploit 0day.

Solución

Las últimas versiones 10.8.5 y la 11.3.4_23 de CrushFTP ya incorporan la corrección del problema.

Detalle

La vulnerabilidad de severidad crítica se produce cuando no se utiliza la función de proxy DMZ, ya que maneja incorrectamente la validación AS2 y, como consecuencia, permite a atacantes remotos obtener acceso de administrador a través de HTTPS.

Se ha asignado el identificador CVE-2025-54309 para esta vulnerabilidad.