Microsoft ha revelado una falla crítica de ejecución remota de código en Internet Information Server (IIS), lo que supone un riesgo para las organizaciones que dependen de servidores Windows para el alojamiento web.

Identificada como CVE-2025-59282, la vulnerabilidad afecta a los objetos COM que gestionan la memoria global, debido a una condición de carrera y un error de uso tras liberación. Anunciada el 14 de octubre de 2025, tiene una puntuación base de 7.0 en CVSS 3.1, calificada como "Importante" por Microsoft. La falla surge durante la ejecución concurrente, donde los recursos compartidos carecen de una sincronización adecuada, lo que permite a un atacante no autorizado manipular los estados de la memoria. Según los detalles de la CVE, la explotación requiere acceso local, pero puede provenir de un adversario remoto que engaña al usuario para que abra un archivo malicioso.

No se requieren privilegios, aunque la alta complejidad del ataque exige superar una condición de carrera precisa, lo que lo hace difícil, pero factible para atacantes expertos. Microsoft aclara que el término "remoto" en el título se refiere a la posición del atacante, no al sitio de ejecución, lo que lo distingue de las vulnerabilidades completamente remotas.

En esencia, la vulnerabilidad CVE-2025-59282 explota las debilidades en CWE-362 (condición de carrera) y CWE-416 (uso tras liberación) dentro de la gestión de objetos COM de IIS. Cuando un usuario interactúa con un archivo manipulado, como un documento o script con formato específico, la vulnerabilidad desencadena una gestión incorrecta de la memoria.

Aún no se han detallado indicadores de compromiso (IoC), pero se recomienda supervisar las interacciones inusuales de objetos COM o las anomalías de memoria en los registros de IIS.

La defensa más sencilla es deshabilitar IIS si no se utiliza, ya que los sistemas no afectados no corren ningún riesgo. Microsoft recomienda aplicar los próximos parches a través de Windows Update y restringir las políticas de ejecución de archivos.