{"id":163069,"date":"2025-11-03T07:39:43","date_gmt":"2025-11-03T15:39:43","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=163069"},"modified":"2025-11-05T06:46:52","modified_gmt":"2025-11-05T14:46:52","slug":"microsoft-cve-2025-59287","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/","title":{"rendered":"Explotaci\u00f3n activa en campo de la ejecuci\u00f3n remota de c\u00f3digo (CVE-2025-59287) en Microsoft WSUS (actualizado el 3 de noviembre)"},"content":{"rendered":"<h2><a id=\"post-163069-_a1fdk0j0hb6k\"><\/a><strong>Resumen ejecutivo<\/strong><\/h2>\n<p>El 14 de octubre de 2025, se identific\u00f3 una vulnerabilidad cr\u00edtica de ejecuci\u00f3n remota de c\u00f3digo (RCE) no autenticada en los Servicios de actualizaci\u00f3n de Windows Server (WSUS) de Microsoft, un componente empresarial central para la gesti\u00f3n de parches. El parche inicial de Microsoft durante el <em>Patch Tuesday<\/em> de octubre de 2025 no abord\u00f3 completamente la falla, lo que requiri\u00f3 una actualizaci\u00f3n de seguridad de emergencia fuera de banda lanzada el 23 de octubre de 2025. Pocas horas despu\u00e9s de la actualizaci\u00f3n de emergencia, Unit 42 y otros investigadores de seguridad observaron una explotaci\u00f3n activa en campo. La combinaci\u00f3n de una RCE explotable de forma remota y no autenticada en un servicio de infraestructura central, junto con la explotaci\u00f3n activa observada en campo, representa un riesgo grave y urgente.<\/p>\n<p>Los detalles clave de la amenaza se resumen a continuaci\u00f3n:<\/p>\n<ul>\n<li><strong>Vulnerabilidad<\/strong>: Ejecuci\u00f3n remota de c\u00f3digo (RCE) cr\u00edtica en Windows Server Update Services (WSUS), registrada como CVE-2025-59287 (CVSS 9.8).<\/li>\n<li><strong>Impacto<\/strong>: Permite a un atacante remoto no autenticado ejecutar c\u00f3digo arbitrario con privilegios de sistema en los servidores afectados.<\/li>\n<li><strong>Estado<\/strong>: Explotada activamente. Se observ\u00f3 a actores de amenazas explotando la vulnerabilidad pocas horas despu\u00e9s de que Microsoft lanzara un parche de emergencia el 23 de octubre.<\/li>\n<li><strong>Urgencia<\/strong>: La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. agreg\u00f3 esta vulnerabilidad a su Cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV) el 24 de octubre, subrayando el riesgo inmediato.<\/li>\n<\/ul>\n<p>Para las organizaciones que no pueden implementar los parches de emergencia de inmediato, Microsoft ha<a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-59287\" target=\"_blank\" rel=\"noopener\"> recomendado<\/a> soluciones alternativas temporales para mitigar el riesgo.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra la actividad relacionada con CVE-2025-59287 a trav\u00e9s de los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> con <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<\/ul>\n<p>El<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de Respuesta a Incidentes de Unit 42<\/a> tambi\u00e9n puede ser contactado para ayudar con una intrusi\u00f3n o para proporcionar una evaluaci\u00f3n proactiva para reducir su riesgo.<\/p>\n<table style=\"width: 98.1505%;\">\n<thead>\n<tr style=\"height: 26px;\">\n<td style=\"width: 35%; height: 26px;\"><b>Vulnerabilidades Discutidas<\/b><\/td>\n<td style=\"width: 203.063%; height: 26px;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/cve-2025-59287-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>CVE-2025-59287<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/microsoft-es-la\/\" target=\"_blank\" rel=\"noopener\">Microsoft<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-163069-_u7xcz9xca10s\"><\/a><strong>Detalles de CVE-2025-59287<\/strong><\/h2>\n<p>WSUS es una herramienta fundamental para los administradores de TI, que permite la gesti\u00f3n centralizada y la distribuci\u00f3n de actualizaciones de productos de Microsoft en las redes corporativas. Su papel como fuente confiable de parches de software lo convierte en un objetivo de alto valor; comprometer un servidor WSUS puede proporcionar un punto de apoyo para el movimiento lateral y la intrusi\u00f3n generalizada en la red.<\/p>\n<p>La vulnerabilidad se basa en una \"<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-59287\" target=\"_blank\" rel=\"noopener\">deserializaci\u00f3n insegura de datos no confiables<\/a>\". Los investigadores de seguridad han identificado m\u00faltiples rutas de ataque, incluido el env\u00edo de una solicitud especialmente dise\u00f1ada al <em>endpoint<\/em> <span style=\"font-family: 'courier new', courier, monospace;\">GetCookie()<\/span>, lo que provoca que el servidor deserialice incorrectamente un objeto <span style=\"font-family: 'courier new', courier, monospace;\">AuthorizationCookie<\/span> utilizando el inseguro <span style=\"font-family: 'courier new', courier, monospace;\">BinaryFormatter<\/span>. Otra ruta apunta al <span style=\"font-family: 'courier new', courier, monospace;\">ReportingWebService<\/span> para desencadenar la deserializaci\u00f3n insegura a trav\u00e9s de <span style=\"font-family: 'courier new', courier, monospace;\">SoapFormatter<\/span>. En ambos casos, un atacante remoto no autenticado puede enga\u00f1ar al sistema para que ejecute c\u00f3digo malicioso con el m\u00e1s alto nivel de privilegios del sistema.<\/p>\n<p>El alcance de esta vulnerabilidad es espec\u00edfico para sistemas con el rol WSUS habilitado:<\/p>\n<ul>\n<li><strong>Software afectado<\/strong>: Microsoft Windows Server 2012, 2012 R2, 2016, 2019, 2022 (incluida la edici\u00f3n 23H2) y 2025.<\/li>\n<li><strong>Condici\u00f3n requerida<\/strong>: La vulnerabilidad solo afecta a los servidores donde est\u00e1 habilitado el rol de servidor WSUS. Esta caracter\u00edstica no est\u00e1 habilitada de forma predeterminada.<\/li>\n<\/ul>\n<h2><a id=\"post-163069-_jvgbbspiid9m\"><\/a><strong>Alcance actual del ataque usando CVE-2025-59287<\/strong><\/h2>\n<p>Tras la divulgaci\u00f3n p\u00fablica de un <em>exploit<\/em> de prueba de concepto, Unit 42, adem\u00e1s de otras firmas de seguridad, detect\u00f3 r\u00e1pidamente escaneo y explotaci\u00f3n de activos.<\/p>\n<p>El an\u00e1lisis de los ataques observados por Unit 42 revela una metodolog\u00eda consistente centrada en el acceso inicial y el reconocimiento de la red interna.<\/p>\n<ul>\n<li><strong>Acceso inicial<\/strong>: Los atacantes apuntan a instancias de WSUS expuestas p\u00fablicamente en sus puertos TCP predeterminados, 8530 (HTTP) y 8531 (HTTPS).<\/li>\n<li><strong>Ejecuci\u00f3n<\/strong>: Se ejecutan comandos maliciosos de PowerShell a trav\u00e9s de procesos primarios espec\u00edficos. Las cadenas de procesos forenses observadas incluyen <span style=\"font-family: 'courier new', courier, monospace;\">wsusservice.exe \u2192 cmd.exe \u2192 cmd.exe \u2192 powershell.exe y w3wp.exe \u2192 cmd.exe \u2192 cmd.exe \u2192 powershell.exe.<\/span><\/li>\n<li><strong>Reconocimiento<\/strong>: La carga \u00fatil inicial ejecuta comandos para recopilar inteligencia sobre el entorno de la red interna, incluidos <span style=\"font-family: 'courier new', courier, monospace;\">whoami,<\/span> <span style=\"font-family: 'courier new', courier, monospace;\">net user \/domain<\/span> e <span style=\"font-family: 'courier new', courier, monospace;\">ipconfig \/all<\/span>. Este conjunto inicial de comandos est\u00e1 dise\u00f1ado para mapear r\u00e1pidamente la estructura interna del dominio e identificar cuentas de usuario de alto valor, proporcionando al atacante un plan inmediato para el movimiento lateral.<\/li>\n<li><strong>Exfiltraci\u00f3n de datos<\/strong>: La informaci\u00f3n recopilada se exfiltra a un <em>endpoint<\/em> remoto de Webhook.site controlado por el atacante mediante una carga \u00fatil de PowerShell que intenta <span style=\"font-family: 'courier new', courier, monospace;\">Invoke-WebRequest<\/span> y recurre a <span style=\"font-family: 'courier new', courier, monospace;\">curl.exe<\/span> si es necesario.<\/li>\n<\/ul>\n<p>Cortex Xpanse identific\u00f3 aproximadamente 5,500 instancias de WSUS expuestas a Internet, proporcionando una m\u00e9trica tangible de la superficie de ataque global. Este TTP centrado en el reconocimiento indica que la explotaci\u00f3n inicial es precursora de una intrusi\u00f3n m\u00e1s amplia en la red, lo que hace que la remediaci\u00f3n inmediata y la b\u00fasqueda de amenazas sean primordiales.<\/p>\n<h2><a id=\"post-163069-_z1dspjifelav\"><\/a><strong>Gu\u00eda provisional<\/strong><\/h2>\n<p>Microsoft ha<a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-59287\" target=\"_blank\" rel=\"noopener\"> recomendado<\/a> soluciones alternativas temporales para mitigar el riesgo para las organizaciones que no pueden implementar los parches de emergencia de inmediato. Estas medidas deben considerarse soluciones provisionales hasta que se pueda completar la aplicaci\u00f3n de parches.<\/p>\n<p>Recomendamos que las organizaciones afectadas sigan esta gu\u00eda para abordar el problema y que consulten regularmente el lenguaje oficial de Microsoft para obtener actualizaciones.<\/p>\n<p>Hasta el 27 de octubre, la gu\u00eda consist\u00eda en las siguientes mitigaciones:<\/p>\n<ol>\n<li><strong>Deshabilitar el rol de servidor WSUS<\/strong>: Deshabilitar el rol WSUS en el servidor elimina por completo el vector de ataque. Sin embargo, esto evitar\u00e1 que el servidor administre y distribuya actualizaciones a los sistemas cliente.<\/li>\n<li><strong>Bloquear puertos de alto riesgo<\/strong>: Bloquear todo el tr\u00e1fico entrante a los puertos TCP 8530 y 8531 en el firewall a nivel de host. Como recomienda Microsoft, esto elimina el vector de ataque, pero evitar\u00e1 que el servidor administre y distribuya actualizaciones.<\/li>\n<\/ol>\n<h2><a id=\"post-163069-_1zetvcbcfita\"><\/a><strong>Consultas de b\u00fasqueda de amenazas gestionada de Unit 42<\/strong><\/h2>\n<p>El equipo de B\u00fasqueda de Amenazas Gestionada de Unit 42 contin\u00faa rastreando cualquier intento de explotar este CVE en todos nuestros clientes de Servicios Gestionados, utilizando Cortex XDR y la consulta XQL a continuaci\u00f3n. Los clientes de Cortex XDR que no aprovechan los Servicios Gestionados de Unit 42 tambi\u00e9n pueden usar la siguiente consulta XQL para buscar signos de explotaci\u00f3n.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Title: WSUS RCE - Potentail CVE-2025-59287 exploitation\r\n\/\/ Description: Query looks for potential CVE-2025-59287 exploitation via identifying children processes of the WSUS service and IIS.\r\n\/\/ MITRE ATT&amp;CK TTP ID: T1190\r\ndataset = xdr_data \r\n| fields _time, agent_hostname, action_process_username, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_cwd, action_process_file_info, action_process_file_size, actor_effective_username, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_image_sha256, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, causality_actor_process_image_sha256, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_command_line, os_actor_process_image_sha256, agent_id, agent_os_type, agent_os_sub_type, event_type, event_sub_type, event_id\r\n| filter agent_os_type = ENUM.AGENT_OS_WINDOWS and event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START \r\n| filter \r\n    (lowercase(actor_process_image_name) = \"wsusservice.exe\" \r\n        or lowercase(causality_actor_process_image_name) = \"wsusservice.exe\") \r\n    or (lowercase(causality_actor_process_image_name) = \"w3wp.exe\" \r\n        and lowercase(causality_actor_process_command_line) contains \"wsuspool\")\r\n    or (lowercase(actor_process_image_name) = \"w3wp.exe\" \r\n        and lowercase(actor_process_command_line) contains \"wsuspool\")\r\n| filter not (lowercase(action_process_image_name) = \"svchost.exe\" and action_process_image_command_line contains \"BITS\") and lowercase(action_process_image_name) not in (\"conhost.exe\", \"csc.exe\", \"cvtres.exe\", \"oneagentdumpproc.exe\", \"vbc.exe\", \"werfault.exe\", \"*wsuscertserver.exe\", \"*wsusservice.exe\", \"w3wp.exe\")\r\n| filter not (lowercase(actor_process_image_name) = \"svchost.exe\" and actor_process_command_line contains \"BITS\")\r\n| sort asc _time<\/pre>\n<h2><a id=\"post-163069-_7pp4iuozcpu5\"><\/a><strong>Conclusi\u00f3n<\/strong><\/h2>\n<p>Basado en la cantidad de informaci\u00f3n disponible p\u00fablicamente, la facilidad de uso y la efectividad de este <em>exploit<\/em>, Palo Alto Networks recomienda encarecidamente seguir la gu\u00eda de Microsoft para proteger su organizaci\u00f3n.<\/p>\n<p>Esta vulnerabilidad y su posterior armamentizaci\u00f3n sirven como ilustraci\u00f3n de c\u00f3mo las fallas de configuraci\u00f3n permiten la explotaci\u00f3n. Si bien la vulnerabilidad de WSUS proporciona el vector t\u00e9cnico, su impacto potencialmente grave es consecuencia directa de fallas en la higiene de seguridad.<\/p>\n<p>La exposici\u00f3n de un servicio orientado internamente, como WSUS, a la Internet p\u00fablica constituye una mala configuraci\u00f3n significativa que eleva una vulnerabilidad de servidor localizado a una potencial intrusi\u00f3n en toda la empresa y en la cadena de suministro. Esto subraya que la gesti\u00f3n rigurosa de activos y la segmentaci\u00f3n disciplinada de la red son controles de seguridad cr\u00edticos, esenciales para mitigar la escalada de fallas aisladas a brechas organizacionales sist\u00e9micas.<\/p>\n<p>Palo Alto Networks ha compartido nuestros hallazgos con nuestros colegas miembros de la Cyber Threat Alliance (CTA). Los miembros de la CTA utilizan esta inteligencia para implementar r\u00e1pidamente protecciones a sus clientes e interrumpir sistem\u00e1ticamente a los actores cibern\u00e9ticos maliciosos. Obtenga m\u00e1s informaci\u00f3n sobre la<a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\"> Cyber Threat Alliance<\/a>.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos por nuestros productos, como se detalla a continuaci\u00f3n. Actualizaremos este informe de amenazas a medida que haya m\u00e1s informaci\u00f3n relevante disponible.<\/p>\n<h2><a id=\"post-163069-_5x3ch3m4skke\"><\/a><strong>Protecciones de productos de Palo Alto Networks para CVE-2025-59287<\/strong><\/h2>\n<p>Los clientes de Palo Alto Networks pueden aprovechar una variedad de protecciones y actualizaciones de productos para ayudar a identificar y defenderse de esta amenaza.<\/p>\n<p>Si cree que puede haber sido comprometido o tiene un asunto urgente, p\u00f3ngase en contacto con el<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de Respuesta a Incidentes de Unit 42<\/a> o llame a:<\/p>\n<ul>\n<li>Am\u00e9rica del Norte: Gratuito: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Medio Oriente: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 000 800 050 45107<\/li>\n<\/ul>\n<h3>Advanced Threat Prevention<\/h3>\n<p>El <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> con la suscripci\u00f3n de seguridad <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> puede ayudar a bloquear los ataques siguiendo las mejores pr\u00e1cticas (best practices) a trav\u00e9s de la siguiente firma de Threat Prevention <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?q=96657\" target=\"_blank\" rel=\"noopener\">96657<\/a> y\u00a0<a href=\"https:\/\/threatvault.paloaltonetworks.com\/?q=96684\">96684<\/a>.<\/p>\n<h3><a id=\"post-163069-_drv2ntl9251l\"><\/a>Cortex XDR y XSIAM<\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> ayudan a proteger contra actividades posteriores a la explotaci\u00f3n utilizando el enfoque de protecci\u00f3n de m\u00faltiples capas.<\/p>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSOAR\" target=\"_blank\" rel=\"noopener\">Cortex<\/a> ha publicado un paquete de respuesta y un <i>playbook<\/i> para <a href=\"https:\/\/xsoar.pan.dev\/docs\/reference\/playbooks\/cve-2025-59287---microsoft-wsus-remote-code-execution\" target=\"_blank\" rel=\"noopener\">CVE-2025-59287 - Ejecuci\u00f3n remota de c\u00f3digo en Microsoft WSUS<\/a>, para ayudar a automatizar y acelerar el proceso de mitigaci\u00f3n.<\/p>\n<p>Este <i>playbook<\/i> automatiza las siguientes tareas:<\/p>\n<ul>\n<li>Identifica y perfila los <i>hosts<\/i> WSUS mediante consultas XQL<\/li>\n<li>Recopila indicadores del art\u00edculo de Unit 42<\/li>\n<li>Detecta cualquier l\u00ednea de comandos sospechosa indicativa de la explotaci\u00f3n de esta vulnerabilidad, mediante una consulta XQL<\/li>\n<li>Investiga las l\u00edneas de comandos para identificar indicadores maliciosos relacionados con la vulnerabilidad<\/li>\n<li>Busca indicadores maliciosos mediante una consulta XQL<\/li>\n<li>A\u00edsla los servidores WSUS comprometidos (requiere aprobaci\u00f3n del analista)<\/li>\n<li>Bloquea los indicadores maliciosos<\/li>\n<li>Proporciona recomendaciones de mitigaci\u00f3n<\/li>\n<\/ul>\n<h2><a id=\"post-163069-_7kzq0y4otnsf\"><\/a><strong>Indicadores de compromiso<\/strong><\/h2>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/webhook\\[.\\]site\/22b6b8c8-2e07-4878-a681-b772e569aa6a<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>CVE-2025-59287 es una vulnerabilidad cr\u00edtica de RCE identificada en WSUS de Microsoft. Nuestras observaciones de casos muestran una metodolog\u00eda consistente.<\/p>\n","protected":false},"author":23,"featured_media":163050,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8775,8856],"tags":[9729,9372,9730,9464],"product_categories":[8923,8921,8932,8934,8935,8936,8946,8890],"coauthors":[1025],"class_list":["post-163069","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-es-la","category-vulnerabilities-es-la","tag-cve-2025-59287-es-la","tag-microsoft-es-la","tag-microsoft-vulnerability-es-la","tag-remote-code-execution-es-la","product_categories-advanced-threat-prevention-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-cortex-xsoar-es-la","product_categories-managed-threat-hunting-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Explotaci\u00f3n activa en campo de la ejecuci\u00f3n remota de c\u00f3digo (CVE-2025-59287) en Microsoft WSUS (actualizado el 3 de noviembre)<\/title>\n<meta name=\"description\" content=\"CVE-2025-59287 es una vulnerabilidad cr\u00edtica de RCE identificada en WSUS de Microsoft. Nuestras observaciones de casos muestran una metodolog\u00eda consistente.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Explotaci\u00f3n activa en campo de la ejecuci\u00f3n remota de c\u00f3digo (CVE-2025-59287) en Microsoft WSUS (actualizado el 3 de noviembre)\" \/>\n<meta property=\"og:description\" content=\"CVE-2025-59287 es una vulnerabilidad cr\u00edtica de RCE identificada en WSUS de Microsoft. Nuestras observaciones de casos muestran una metodolog\u00eda consistente.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-11-03T15:39:43+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-11-05T14:46:52+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Explotaci\u00f3n activa en campo de la ejecuci\u00f3n remota de c\u00f3digo (CVE-2025-59287) en Microsoft WSUS (actualizado el 3 de noviembre)","description":"CVE-2025-59287 es una vulnerabilidad cr\u00edtica de RCE identificada en WSUS de Microsoft. Nuestras observaciones de casos muestran una metodolog\u00eda consistente.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/","og_locale":"es_LA","og_type":"article","og_title":"Explotaci\u00f3n activa en campo de la ejecuci\u00f3n remota de c\u00f3digo (CVE-2025-59287) en Microsoft WSUS (actualizado el 3 de noviembre)","og_description":"CVE-2025-59287 es una vulnerabilidad cr\u00edtica de RCE identificada en WSUS de Microsoft. Nuestras observaciones de casos muestran una metodolog\u00eda consistente.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/","og_site_name":"Unit 42","article_published_time":"2025-11-03T15:39:43+00:00","article_modified_time":"2025-11-05T14:46:52+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Explotaci\u00f3n activa en campo de la ejecuci\u00f3n remota de c\u00f3digo (CVE-2025-59287) en Microsoft WSUS (actualizado el 3 de noviembre)","datePublished":"2025-11-03T15:39:43+00:00","dateModified":"2025-11-05T14:46:52+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/"},"wordCount":1632,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg","keywords":["CVE-2025-59287","Microsoft","Microsoft Vulnerability","Remote Code Execution"],"articleSection":["Amenazas sofisticadas","Vulnerabilidades"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/","name":"Explotaci\u00f3n activa en campo de la ejecuci\u00f3n remota de c\u00f3digo (CVE-2025-59287) en Microsoft WSUS (actualizado el 3 de noviembre)","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg","datePublished":"2025-11-03T15:39:43+00:00","dateModified":"2025-11-05T14:46:52+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"CVE-2025-59287 es una vulnerabilidad cr\u00edtica de RCE identificada en WSUS de Microsoft. Nuestras observaciones de casos muestran una metodolog\u00eda consistente.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/08_DNS_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of CVE-2025-59287. Digital image of a glowing padlock symbol representing cybersecurity on a network grid with blue and orange lights."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/microsoft-cve-2025-59287\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Explotaci\u00f3n activa en campo de la ejecuci\u00f3n remota de c\u00f3digo (CVE-2025-59287) en Microsoft WSUS (actualizado el 3 de noviembre)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/163069","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=163069"}],"version-history":[{"count":6,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/163069\/revisions"}],"predecessor-version":[{"id":164179,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/163069\/revisions\/164179"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/163050"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=163069"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=163069"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=163069"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=163069"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=163069"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}