Contexto
Esta é a Notificação de Vulnerabilidades (NDV) referente ao mês de julho de 2025. Neste documento, produzido pelo time de Inteligência de Ameaças Cibernéticas da SEK, estão listadas as principais vulnerabilidades catalogadas no último mês.
Em nossa análise, priorizamos as vulnerabilidades críticas e altas presentes nos produtos e tecnologias mais relevantes e utilizados na indústria. Cabe pontuar que este é um documento direcionado à comunidade de cibersegurança como um todo. Para um trabalho mais específico, recomendamos a contratação de nosso serviço de gestão de vulnerabilidades, cujo foco está na detecção e mitigação de vulnerabilidades encontradas em todo o parque de nossos clientes de forma personalizada.
Para cada vulnerabilidade listada neste documento, especificamos as versões e sistemas afetados e indicamos uma remediação de contorno e uma solução, para que nossos clientes possam atuar de forma imediata caso utilizem o produto ou tecnologia vulnerável. Lembramos que a remediação de contorno – se houver – é uma medida de caráter contingencial, que não soluciona o problema por completo. Reforçamos, sempre, a necessidade de atualização do serviço ou produto afetado o mais rápido possível.
A SEK se coloca à disposição para ajudar seus clientes a corrigirem as vulnerabilidades listadas neste documento. Reforçamos, ainda, a importância da manutenção de um serviço periódico de gestão de vulnerabilidades e implementação de patches, tendo em vista o cenário crescente de aumento de superfície de ataque e de atores de ameaça em todo o mundo.
Sumário
Clique nos cards para navegar até a vulnerabilidade específica
Wing FTP Server
Veeam Backup & Replication
Trend Micro Endpoint Encryption
Windows SPNEGO Extended Negotiation
Fortinet FortiWeb
Citrix NetScaler ADC/Gateway
Microsoft Remote Desktop Client
Microsoft SharePoint
Placas-mãe GIGABYTE/AORUS
WinRAR
THINK AHEAD, ACT NOW.
Wing FTP Server
Descrição
A falha permite que atacantes remotos executem código arbitrário através do tratamento inadequado de bytes nulos nas interfaces web do usuário e administrador. A vulnerabilidade resulta da manipulação inadequada dos bytes '\0' no parâmetro de nome de usuário, permitindo a injeção de código Lua arbitrário nos arquivos de sessão do usuário. Quando as sessões são carregadas, o código Lua malicioso é executado com os privilégios do serviço FTP, que por padrão executam como root no Linux ou SYSTEM no Windows, garantindo um comprometimento total do servidor.
Sistemas afetados
As seguintes versões do produto são atingidas:
- Wing FTP Server versão 7.4.3 e anteriores
- Sistemas Windows, Windows Server, Linux e macOS
- Explorável através de contas FTP anônimas quando habilitadas
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A vulnerabilidade foi corrigida no Wing FTP Server versão 7.4.4, lançado em 14 de maio de 2025. Usuários devem atualizar imediatamente para esta versão ou superior, especialmente considerando que a vulnerabilidade está sendo ativamente explorada em ataques reais desde julho de 2025.
Fontes primárias e secundárias
Veeam Backup & Replication
Descrição
Falha crítica de execução remota de código permite que usuários autenticados do domínio executem código arbitrário no Backup Server. A vulnerabilidade afeta exclusivamente instalações integradas ao domínio. Exploração requer baixa complexidade e pode comprometer totalmente o servidor de backup, permitindo acesso não autorizado a dados críticos e interrupção de operações de recuperação.
Sistemas afetados
As seguintes versões do produto são atingidas:
- Veeam Backup & Replication 12.3.1.1139
- Todas as versões anteriores da série 12
- Versões não suportadas devem ser consideradas vulneráveis
Remediações de contorno
O fabricante não sugeriu remediações de contorno.
Solução
Atualizar imediatamente para Veeam Backup & Replication 12.3.2 (build 12.3.2.3617).
Fontes primárias e secundárias
Trend Micro Endpoint Encryption PolicyServer
Descrição
Três falhas críticas afetam o PolicyServer: duas vulnerabilidades de desserialização insegura (CVE-2025-49212 e CVE-2025-49213) permitem execução remota de código pré-autenticação em métodos diferentes do sistema, enquanto uma falha de bypass de autenticação (CVE-2025-49216) permite acesso administrativo não autorizado. As vulnerabilidades de desserialização exploram funções obsoletas para processar dados não confiáveis, permitindo execução de código arbitrário com privilégios SYSTEM. O bypass de autenticação possibilita modificação de configurações críticas de criptografia sem credenciais válidas.
Sistemas afetados
As seguintes versões do produto são atingidas:
- Trend Micro Endpoint Encryption PolicyServer versões anteriores à 6.0.0.4013
- Versões não suportadas devem ser consideradas vulneráveis
Remediações de contorno
Como medida temporária, recomenda-se:
- Revisar e restringir acesso remoto a sistemas críticos
- Garantir que políticas de segurança perimetral estejam atualizadas
- Implementar regras de Network Security disponibilizadas pela Trend Micro (filtros 45073 e 45072)
Solução
Atualizar imediatamente para Trend Micro Endpoint Encryption PolicyServer versão 6.0.0.4013.
Fontes primárias e secundárias
Windows SPNEGO Extended Negotiation
Descrição
Falha crítica de buffer overflow baseada em heap no mecanismo de negociação estendida SPNEGO permite execução remota de código sem autenticação. A vulnerabilidade é classificada como "wormable" devido à capacidade de auto-propagação, não requer interação do usuário e executa com privilégios elevados. Exploração ocorre através de mensagens SPNEGO maliciosas enviadas para serviços que utilizam autenticação SPNEGO, incluindo SMB, RDP, HTTP/HTTPS e SMTP. Microsoft atribuiu classificação máxima de exploração, indicando alta probabilidade de ataques em até 30 dias.
Sistemas afetados
As seguintes versões do produto são atingidas:
- Windows 10 versão 1607 e superior
- Windows Server 2008 R2 até Windows Server 2025
Remediações de contorno
Como medida temporária, recomenda-se:
- Priorizar aplicação de patches em sistemas expostos à internet e acessíveis via VPN
- Desabilitar política de grupo "Allow PKU2U authentication requests" se não necessária
- Bloquear portas de entrada 135, 445 e 5985 no perímetro de rede
Solução
Aplicar imediatamente atualizações de segurança do Patch Tuesday de julho 2025.
Fontes primárias e secundárias
Fortinet FortiWeb
Descrição
Falha crítica de injeção SQL não autenticada no componente Fabric Connector permite execução de comandos SQL arbitrários através de requisições HTTP/HTTPS maliciosas. Exploração pode resultar em execução remota de código com privilégios root, comprometimento completo do sistema, acesso a dados sensíveis e potencial pivotagem para outros sistemas conectados. Proofs-of-concept públicos estão disponíveis, aumentando significativamente o risco de exploração.
Sistemas afetados
As seguintes versões do produto são atingidas:
- FortiWeb 7.6: 7.6.0 até 7.6.3
- FortiWeb 7.4: 7.4.0 até 7.4.7
- FortiWeb 7.2: 7.2.0 até 7.2.10
- FortiWeb 7.0: 7.0.0 até 7.0.10
Remediações de contorno
Desabilitar interface administrativa HTTP/HTTPS como medida temporária até aplicação de patches.
Solução
Atualizar imediatamente para as versões corrigidas:
- FortiWeb 7.6.4 ou superior
- FortiWeb 7.4.8 ou superior (série 7.4)
- FortiWeb 7.2.11 ou superior (série 7.2)
- FortiWeb 7.0.11 ou superior (série 7.0)
Fontes primárias e secundárias
Citrix NetScaler ADC e NetScaler Gateway
Descrição
Falha crítica de leitura fora dos limites (out-of-bounds read) causada por validação insuficiente de entrada permite que atacantes não autenticados extraiam conteúdo de memória não inicializada de dispositivos afetados. A vulnerabilidade, denominada "CitrixBleed 2" devido à similaridade com CVE-2023-4966, permite vazamento de informações sensíveis incluindo tokens de sessão, credenciais de usuário e outros dados confidenciais através de requisições HTTP maliciosas. A exploração foi confirmada pela CISA, que adicionou a falha à lista de vulnerabilidades exploradas ativamente.
Sistemas afetados
As seguintes versões do produto são atingidas:
- NetScaler ADC e Gateway 14.1: 14.1.0 até 14.1-43.55
- NetScaler ADC e Gateway 13.1: 13.1.0 até 13.1-58.31
- NetScaler ADC 13.1-FIPS e NDcPP: 13.1.0 até 13.1-37.234
- NetScaler ADC 12.1-FIPS: 12.1.0 até 12.1-55.327
- Versões 12.1 e 13.0 (end-of-life) permanecem vulneráveis
Remediações de contorno
Não existem remediações de contorno disponíveis além da atualização para versões corrigidas.
Solução
Atualizar imediatamente para as versões corrigidas:
- NetScaler ADC e Gateway 14.1-43.56 ou posterior
- NetScaler ADC e Gateway 13.1-58.32 ou posterior
- NetScaler ADC 13.1-FIPS e NDcPP 13.1-37.235 ou posterior
- NetScaler ADC 12.1-FIPS 12.1-55.328 ou posterior
- Executar comandos oficiais para encerrar todas as sessões ICA e PCoIP ativas após atualização
Fontes primárias e secundárias
Microsoft Remote Desktop Client
Descrição
A vulnerabilidade permite que atacantes executem código arbitrário em sistemas cliente através de uma combinação de path traversal relativo e controles de acesso inadequados. O atacante pode explorar a falha quando uma vítima se conecta a um servidor RDP malicioso, escapando das restrições de diretório e executando código arbitrário no sistema cliente. A vulnerabilidade explora circunstâncias onde um atacante manipula como recursos de arquivos ou sessões são referenciados, escapando dos limites impostos por restrições de diretório.
Sistemas afetados
As seguintes versões do produto são atingidas:
- Windows Server 2008 até Windows 11 24H2
- Windows 10 (versões 1607 até 22H2) e Windows 11 (22H2, 23H2 até 24H2)
- Remote Desktop Client para Windows Desktop até versão 1.2.6353.0
- Windows App Client até versão 2.0.559.0
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A Microsoft lançou atualizações de segurança abrangentes em 8 de julho de 2025 através dos Knowledge Base articles KB5062553 e KB5062552. As versões corrigidas incluem build 10.0.26100.4652 para Windows 11 24H2 e 10.0.22631.5624 para Windows 11 23H2. Aplique imediatamente as atualizações de segurança disponíveis.
Fontes primárias e secundárias
Placas-mãe GIGABYTE/AORUS
Descrição
As quatro vulnerabilidades identificadas como CVE-2025-7026, CVE-2025-7027, CVE-2025-7028 e CVE-2025-7029 são falhas de corrupção de memória no System Management Mode (SMM) que permitem que atacantes com acesso local elevem privilégios ou executem código arbitrário no ambiente altamente privilegiado SMM. A CVE-2025-7026 permite escritas arbitrárias no System Management RAM (SMRAM) através de um ponteiro não verificado na função CommandRcx0, podendo levar à escalada de privilégios para SMM e comprometimento persistente do firmware. A CVE-2025-7027 envolve uma vulnerabilidade de duplo desreferenciamento de ponteiro que permite escrever conteúdo arbitrário no SMRAM usando um ponteiro controlado pelo atacante. A CVE-2025-7028 afeta o manipulador SMI (SmiFlash) que fornece acesso de leitura/escrita ao SMRAM devido à falta de validação de estruturas de ponteiros de função, podendo levar à instalação de malware. A CVE-2025-7029 resulta do uso não verificado do registrador RBX que permite controle do atacante sobre ponteiros OcHeader e OcData na lógica de configuração de energia e térmica, resultando em escritas arbitrárias no SMRAM.
Sistemas afetados
As seguintes versões do produto são atingidas:
- Mais de 240 modelos de placas-mãe GIGABYTE/AORUS (incluindo revisões, variantes e edições específicas por região)
- Produtos com chipsets Intel H110 até Z590
- Firmware atualizado entre final de 2023 e meados de agosto de 2024
- Modelos End-of-Life: IMB1900/J1800/J1900/J4005
Remediações de contorno
O fabricante não divulgou remediações de contorno para estas vulnerabilidades.
Solução
A GIGABYTE lançou atualizações de BIOS em junho de 2025 para corrigir as vulnerabilidades. Usuários devem aplicar imediatamente as atualizações de BIOS disponíveis. Modelos em fim de vida não receberão atualizações de segurança e devem ser substituídos.
Fontes primárias e secundárias
WinRAR
Descrição
A falha permite que atacantes remotos executem código arbitrário através de uma vulnerabilidade de directory traversal no tratamento de caminhos de arquivos dentro de arquivos compactados. Um caminho de arquivo especialmente criado pode fazer com que o processo navegue para diretórios não intencionais durante a extração. Quando um arquivo é extraído, versões afetadas podem ser induzidas a usar um caminho definido em um arquivo compactado especialmente criado, em vez do caminho especificado pelo usuário, permitindo que arquivos sejam colocados em locais sensíveis do sistema, como diretórios de inicialização automática.
Sistemas afetados
As seguintes versões do produto são atingidas:
- WinRAR versão 7.11 e anteriores
- Versões Windows do RAR, UnRAR, código fonte portátil UnRAR e UnRAR.dll
- Versões Unix, Android e código fonte portátil UnRAR não são afetadas
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A RARLAB corrigiu a vulnerabilidade no WinRAR versão 7.12 Final, lançado em 25 de junho de 2025. Usuários devem atualizar imediatamente para esta versão ou superior para proteger seus sistemas contra esta falha de segurança.
Fontes primárias e secundárias
Context
This is the Vulnerability Notification (NDV) for July 2025. In this document, produced by SEK's Cyber Threat Intelligence team, the main vulnerabilities cataloged in the last month are listed.
In our analysis, we prioritize critical and high vulnerabilities present in products and technologies most relevant and used in the industry. It should be noted that this is a document aimed at the cybersecurity community as a whole. For more specific work, we recommend hiring our vulnerability management service, whose focus is on the detection and mitigation of vulnerabilities found throughout our clients' infrastructure in a personalized way.
For each vulnerability listed in this document, we specify the affected versions and systems and indicate a workaround and a solution, so that our clients can act immediately if they use the vulnerable product or technology. We remind you that the workaround – if any – is a contingency measure, which does not completely solve the problem. We always emphasize the need to update the affected service or product as quickly as possible.
SEK is available to help its clients correct the vulnerabilities listed in this document. We also reinforce the importance of maintaining a periodic vulnerability management and patch implementation service, given the growing scenario of increased attack surface and threat actors worldwide.
Summary
Click on the cards to navigate to the specific vulnerability
Wing FTP Server
Veeam Backup & Replication
Trend Micro Endpoint Encryption
Windows SPNEGO Extended Negotiation
Fortinet FortiWeb
Citrix NetScaler ADC/Gateway
Microsoft Remote Desktop Client
Microsoft SharePoint
GIGABYTE/AORUS Motherboards
WinRAR
THINK AHEAD, ACT NOW.
Wing FTP Server
Description
The vulnerability allows remote attackers to execute arbitrary code through inadequate null byte handling in the user and administrator web interfaces. The vulnerability results from improper handling of '\0' bytes in the username parameter, allowing injection of arbitrary Lua code into user session files. When sessions are loaded, the malicious Lua code is executed with FTP service privileges, which by default run as root on Linux or SYSTEM on Windows, ensuring complete server compromise.
Affected systems
The following product versions are affected:
- Wing FTP Server version 7.4.3 and earlier
- Windows, Windows Server, Linux and macOS systems
- Exploitable through anonymous FTP accounts when enabled
Workarounds
The manufacturer has not disclosed workarounds for this vulnerability.
Solution
The vulnerability was fixed in Wing FTP Server version 7.4.4, released on May 14, 2025. Users should immediately update to this version or higher, especially considering that the vulnerability is being actively exploited in real attacks since July 2025.
Primary and secondary sources
Veeam Backup & Replication
Description
Critical remote code execution vulnerability allows domain-authenticated users to execute arbitrary code on the Backup Server. The vulnerability exclusively affects domain-integrated installations. Exploitation requires low complexity and can completely compromise the backup server, allowing unauthorized access to critical data and disruption of recovery operations.
Affected systems
The following product versions are affected:
- Veeam Backup & Replication 12.3.1.1139
- All previous versions of series 12
- Unsupported versions should be considered vulnerable
Workarounds
The manufacturer has not suggested workarounds.
Solution
Immediately update to Veeam Backup & Replication 12.3.2 (build 12.3.2.3617).
Primary and secondary sources
Trend Micro Endpoint Encryption PolicyServer
Description
Three critical vulnerabilities affect PolicyServer: two insecure deserialization vulnerabilities (CVE-2025-49212 and CVE-2025-49213) allow pre-authentication remote code execution through different system methods, while an authentication bypass vulnerability (CVE-2025-49216) allows unauthorized administrative access. The deserialization vulnerabilities exploit obsolete functions to process untrusted data, allowing arbitrary code execution with SYSTEM privileges. The authentication bypass enables modification of critical encryption settings without valid credentials.
Affected systems
The following product versions are affected:
- Trend Micro Endpoint Encryption PolicyServer versions prior to 6.0.0.4013
- Unsupported versions should be considered vulnerable
Workarounds
As a temporary measure, it is recommended to:
- Review and restrict remote access to critical systems
- Ensure perimeter security policies are up to date
- Implement Network Security rules provided by Trend Micro (filters 45073 and 45072)
Solution
Immediately update to Trend Micro Endpoint Encryption PolicyServer version 6.0.0.4013.
Primary and secondary sources
Windows SPNEGO Extended Negotiation
Description
Critical heap-based buffer overflow vulnerability in the SPNEGO extended negotiation mechanism allows remote code execution without authentication. The vulnerability is classified as "wormable" due to its self-propagation capability, requires no user interaction and executes with elevated privileges. Exploitation occurs through malicious SPNEGO messages sent to services using SPNEGO authentication, including SMB, RDP, HTTP/HTTPS and SMTP. Microsoft assigned maximum exploitation rating, indicating high probability of attacks within 30 days.
Affected systems
The following product versions are affected:
- Windows 10 version 1607 and above
- Windows Server 2008 R2 through Windows Server 2025
Workarounds
As a temporary measure, it is recommended to:
- Prioritize patch application on internet-exposed and VPN-accessible systems
- Disable group policy "Allow PKU2U authentication requests" if not necessary
- Block inbound ports 135, 445 and 5985 at the network perimeter
Solution
Immediately apply July 2025 Patch Tuesday security updates.
Primary and secondary sources
Fortinet FortiWeb
Description
Critical unauthenticated SQL injection vulnerability in the Fabric Connector component allows execution of arbitrary SQL commands through malicious HTTP/HTTPS requests. Exploitation can result in remote code execution with root privileges, complete system compromise, access to sensitive data and potential pivoting to other connected systems. Public proofs-of-concept are available, significantly increasing the risk of exploitation.
Affected systems
The following product versions are affected:
- FortiWeb 7.6: 7.6.0 through 7.6.3
- FortiWeb 7.4: 7.4.0 through 7.4.7
- FortiWeb 7.2: 7.2.0 through 7.2.10
- FortiWeb 7.0: 7.0.0 through 7.0.10
Workarounds
Disable HTTP/HTTPS administrative interface as a temporary measure until patches are applied.
Solution
Immediately update to the fixed versions:
- FortiWeb 7.6.4 or higher
- FortiWeb 7.4.8 or higher (7.4 series)
- FortiWeb 7.2.11 or higher (7.2 series)
- FortiWeb 7.0.11 or higher (7.0 series)
Primary and secondary sources
Citrix NetScaler ADC and NetScaler Gateway
Description
Critical out-of-bounds read vulnerability caused by insufficient input validation allows unauthenticated attackers to extract uninitialized memory content from affected devices. The vulnerability, dubbed "CitrixBleed 2" due to similarity with CVE-2023-4966, allows leakage of sensitive information including session tokens, user credentials and other confidential data through malicious HTTP requests. Exploitation was confirmed by CISA, which added the vulnerability to the list of actively exploited vulnerabilities.
Affected systems
The following product versions are affected:
- NetScaler ADC and Gateway 14.1: 14.1.0 through 14.1-43.55
- NetScaler ADC and Gateway 13.1: 13.1.0 through 13.1-58.31
- NetScaler ADC 13.1-FIPS and NDcPP: 13.1.0 through 13.1-37.234
- NetScaler ADC 12.1-FIPS: 12.1.0 through 12.1-55.327
- Versions 12.1 and 13.0 (end-of-life) remain vulnerable
Workarounds
No workarounds are available beyond updating to fixed versions.
Solution
Immediately update to the fixed versions:
- NetScaler ADC and Gateway 14.1-43.56 or later
- NetScaler ADC and Gateway 13.1-58.32 or later
- NetScaler ADC 13.1-FIPS and NDcPP 13.1-37.235 or later
- NetScaler ADC 12.1-FIPS 12.1-55.328 or later
- Run official commands to terminate all active ICA and PCoIP sessions after update
Primary and secondary sources
Microsoft Remote Desktop Client
Description
The vulnerability allows attackers to execute arbitrary code on client systems through a combination of relative path traversal and improper access controls. The attacker can exploit the vulnerability when a victim connects to a malicious RDP server, escaping directory restrictions and executing arbitrary code on the client system. The vulnerability exploits circumstances where an attacker manipulates how file resources or sessions are referenced, escaping the boundaries imposed by directory restrictions.
Affected systems
The following product versions are affected:
- Windows Server 2008 through Windows 11 24H2
- Windows 10 (versions 1607 through 22H2) and Windows 11 (22H2, 23H2 through 24H2)
- Remote Desktop Client for Windows Desktop up to version 1.2.6353.0
- Windows App Client up to version 2.0.559.0
Workarounds
The manufacturer has not disclosed workarounds for this vulnerability.
Solution
Microsoft released comprehensive security updates on July 8, 2025 through Knowledge Base articles KB5062553 and KB5062552. Fixed versions include build 10.0.26100.4652 for Windows 11 24H2 and 10.0.22631.5624 for Windows 11 23H2. Immediately apply available security updates.
Primary and secondary sources
GIGABYTE/AORUS Motherboards
Description
The four vulnerabilities identified as CVE-2025-7026, CVE-2025-7027, CVE-2025-7028 and CVE-2025-7029 are memory corruption vulnerabilities in System Management Mode (SMM) that allow attackers with local access to elevate privileges or execute arbitrary code in the highly privileged SMM environment. CVE-2025-7026 allows arbitrary writes to System Management RAM (SMRAM) through an unverified pointer in the CommandRcx0 function, potentially leading to privilege escalation to SMM and persistent firmware compromise. CVE-2025-7027 involves a double pointer dereference vulnerability that allows writing arbitrary content to SMRAM using an attacker-controlled pointer. CVE-2025-7028 affects the SMI handler (SmiFlash) that provides read/write access to SMRAM due to lack of validation of function pointer structures, potentially leading to malware installation. CVE-2025-7029 results from unverified use of the RBX register that allows attacker control over OcHeader and OcData pointers in power and thermal configuration logic, resulting in arbitrary writes to SMRAM.
Affected systems
The following product versions are affected:
- Over 240 GIGABYTE/AORUS motherboard models (including revisions, variants and region-specific editions)
- Products with Intel chipsets H110 through Z590
- Firmware updated between late 2023 and mid-August 2024
- End-of-Life models: IMB1900/J1800/J1900/J4005
Workarounds
The manufacturer has not disclosed workarounds for these vulnerabilities.
Solution
GIGABYTE released BIOS updates in June 2025 to fix the vulnerabilities. Users should immediately apply available BIOS updates. End-of-life models will not receive security updates and should be replaced.
Primary and secondary sources
WinRAR
Description
The vulnerability allows remote attackers to execute arbitrary code through a directory traversal vulnerability in the handling of file paths within compressed archives. A specially crafted file path can cause the process to navigate to unintended directories during extraction. When a file is extracted, affected versions can be induced to use a path defined in a specially crafted compressed file, instead of the user-specified path, allowing files to be placed in sensitive system locations, such as auto-start directories.
Affected systems
The following product versions are affected:
- WinRAR version 7.11 and earlier
- Windows versions of RAR, UnRAR, portable UnRAR source code and UnRAR.dll
- Unix, Android and portable UnRAR source code versions are not affected
Workarounds
The manufacturer has not disclosed workarounds for this vulnerability.
Solution
RARLAB fixed the vulnerability in WinRAR version 7.12 Final, released on June 25, 2025. Users should immediately update to this version or higher to protect their systems against this security vulnerability.
Primary and secondary sources
Contexto
Esta es la Notificación de Vulnerabilidades (NDV) correspondiente al mes de julio de 2025. En este documento, producido por el equipo de Inteligencia de Amenazas Cibernéticas de SEK, se listan las principales vulnerabilidades catalogadas en el último mes.
En nuestro análisis, priorizamos las vulnerabilidades críticas y altas presentes en productos y tecnologías más relevantes y utilizados en la industria. Cabe señalar que este es un documento dirigido a la comunidad de ciberseguridad en su conjunto. Para un trabajo más específico, recomendamos la contratación de nuestro servicio de gestión de vulnerabilidades, cuyo enfoque está en la detección y mitigación de vulnerabilidades encontradas en todo el parque de nuestros clientes de forma personalizada.
Para cada vulnerabilidad listada en este documento, especificamos las versiones y sistemas afectados e indicamos una remediación de contorno y una solución, para que nuestros clientes puedan actuar de forma inmediata si utilizan el producto o tecnología vulnerable. Recordamos que la remediación de contorno – si la hay – es una medida de carácter contingencial, que no soluciona el problema por completo. Reforzamos, siempre, la necesidad de actualización del servicio o producto afectado lo más rápido posible.
SEK se pone a disposición para ayudar a sus clientes a corregir las vulnerabilidades listadas en este documento. Reforzamos, además, la importancia del mantenimiento de un servicio periódico de gestión de vulnerabilidades e implementación de parches, teniendo en cuenta el escenario creciente de aumento de superficie de ataque y de actores de amenaza en todo el mundo.
Resumen
Haga clic en las tarjetas para navegar a la vulnerabilidad específica
Wing FTP Server
Veeam Backup & Replication
Trend Micro Endpoint Encryption
Windows SPNEGO Extended Negotiation
Fortinet FortiWeb
Citrix NetScaler ADC/Gateway
Microsoft Remote Desktop Client
Microsoft SharePoint
Placas Base GIGABYTE/AORUS
WinRAR
THINK AHEAD, ACT NOW.
Wing FTP Server
Descripción
La vulnerabilidad permite que atacantes remotos ejecuten código arbitrario a través del manejo inadecuado de bytes nulos en las interfaces web de usuario y administrador. La vulnerabilidad resulta de la manipulación inadecuada de los bytes '\0' en el parámetro de nombre de usuario, permitiendo la inyección de código Lua arbitrario en los archivos de sesión del usuario. Cuando se cargan las sesiones, el código Lua malicioso se ejecuta con los privilegios del servicio FTP, que por defecto se ejecutan como root en Linux o SYSTEM en Windows, garantizando un compromiso total del servidor.
Sistemas afectados
Las siguientes versiones del producto son afectadas:
- Wing FTP Server versión 7.4.3 y anteriores
- Sistemas Windows, Windows Server, Linux y macOS
- Explotable a través de cuentas FTP anónimas cuando están habilitadas
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
La vulnerabilidad fue corregida en Wing FTP Server versión 7.4.4, lanzado el 14 de mayo de 2025. Los usuarios deben actualizar inmediatamente a esta versión o superior, especialmente considerando que la vulnerabilidad está siendo activamente explotada en ataques reales desde julio de 2025.
Fuentes primarias y secundarias
Veeam Backup & Replication
Descripción
Falla crítica de ejecución remota de código permite que usuarios autenticados del dominio ejecuten código arbitrario en el Servidor de Backup. La vulnerabilidad afecta exclusivamente a instalaciones integradas al dominio. La explotación requiere baja complejidad y puede comprometer totalmente el servidor de backup, permitiendo acceso no autorizado a datos críticos e interrupción de operaciones de recuperación.
Sistemas afectados
Las siguientes versiones del producto son afectadas:
- Veeam Backup & Replication 12.3.1.1139
- Todas las versiones anteriores de la serie 12
- Las versiones no soportadas deben considerarse vulnerables
Remediaciones de contorno
El fabricante no ha sugerido remediaciones de contorno.
Solución
Actualizar inmediatamente a Veeam Backup & Replication 12.3.2 (build 12.3.2.3617).
Fuentes primarias y secundarias
Trend Micro Endpoint Encryption PolicyServer
Descripción
Tres fallas críticas afectan al PolicyServer: dos vulnerabilidades de deserialización insegura (CVE-2025-49212 y CVE-2025-49213) permiten ejecución remota de código pre-autenticación en métodos diferentes del sistema, mientras que una falla de bypass de autenticación (CVE-2025-49216) permite acceso administrativo no autorizado. Las vulnerabilidades de deserialización explotan funciones obsoletas para procesar datos no confiables, permitiendo ejecución de código arbitrario con privilegios SYSTEM. El bypass de autenticación posibilita modificación de configuraciones críticas de cifrado sin credenciales válidas.
Sistemas afectados
Las siguientes versiones del producto son afectadas:
- Trend Micro Endpoint Encryption PolicyServer versiones anteriores a 6.0.0.4013
- Las versiones no soportadas deben considerarse vulnerables
Remediaciones de contorno
Como medida temporal, se recomienda:
- Revisar y restringir el acceso remoto a sistemas críticos
- Garantizar que las políticas de seguridad perimetral estén actualizadas
- Implementar reglas de Network Security proporcionadas por Trend Micro (filtros 45073 y 45072)
Solución
Actualizar inmediatamente a Trend Micro Endpoint Encryption PolicyServer versión 6.0.0.4013.
Fuentes primarias y secundarias
Windows SPNEGO Extended Negotiation
Descripción
Falla crítica de desbordamiento de buffer basado en heap en el mecanismo de negociación extendida SPNEGO permite ejecución remota de código sin autenticación. La vulnerabilidad se clasifica como "wormable" debido a la capacidad de auto-propagación, no requiere interacción del usuario y se ejecuta con privilegios elevados. La explotación ocurre a través de mensajes SPNEGO maliciosos enviados a servicios que utilizan autenticación SPNEGO, incluyendo SMB, RDP, HTTP/HTTPS y SMTP. Microsoft asignó clasificación máxima de explotación, indicando alta probabilidad de ataques en hasta 30 días.
Sistemas afectados
Las siguientes versiones del producto son afectadas:
- Windows 10 versión 1607 y superior
- Windows Server 2008 R2 hasta Windows Server 2025
Remediaciones de contorno
Como medida temporal, se recomienda:
- Priorizar la aplicación de parches en sistemas expuestos a internet y accesibles vía VPN
- Deshabilitar la política de grupo "Allow PKU2U authentication requests" si no es necesaria
- Bloquear puertos de entrada 135, 445 y 5985 en el perímetro de red
Solución
Aplicar inmediatamente las actualizaciones de seguridad del Patch Tuesday de julio 2025.
Fuentes primarias y secundarias
Fortinet FortiWeb
Descripción
Falla crítica de inyección SQL no autenticada en el componente Fabric Connector permite ejecución de comandos SQL arbitrarios a través de solicitudes HTTP/HTTPS maliciosas. La explotación puede resultar en ejecución remota de código con privilegios root, compromiso completo del sistema, acceso a datos sensibles y potencial pivoteo a otros sistemas conectados. Las pruebas de concepto públicas están disponibles, aumentando significativamente el riesgo de explotación.
Sistemas afectados
Las siguientes versiones del producto son afectadas:
- FortiWeb 7.6: 7.6.0 hasta 7.6.3
- FortiWeb 7.4: 7.4.0 hasta 7.4.7
- FortiWeb 7.2: 7.2.0 hasta 7.2.10
- FortiWeb 7.0: 7.0.0 hasta 7.0.10
Remediaciones de contorno
Deshabilitar la interfaz administrativa HTTP/HTTPS como medida temporal hasta la aplicación de parches.
Solución
Actualizar inmediatamente a las versiones corregidas:
- FortiWeb 7.6.4 o superior
- FortiWeb 7.4.8 o superior (serie 7.4)
- FortiWeb 7.2.11 o superior (serie 7.2)
- FortiWeb 7.0.11 o superior (serie 7.0)
Fuentes primarias y secundarias
Citrix NetScaler ADC y NetScaler Gateway
Descripción
Falla crítica de lectura fuera de límites (out-of-bounds read) causada por validación insuficiente de entrada permite que atacantes no autenticados extraigan contenido de memoria no inicializada de dispositivos afectados. La vulnerabilidad, denominada "CitrixBleed 2" debido a la similitud con CVE-2023-4966, permite filtración de información sensible incluyendo tokens de sesión, credenciales de usuario y otros datos confidenciales a través de solicitudes HTTP maliciosas. La explotación fue confirmada por CISA, que agregó la falla a la lista de vulnerabilidades explotadas activamente.
Sistemas afectados
Las siguientes versiones del producto son afectadas:
- NetScaler ADC y Gateway 14.1: 14.1.0 hasta 14.1-43.55
- NetScaler ADC y Gateway 13.1: 13.1.0 hasta 13.1-58.31
- NetScaler ADC 13.1-FIPS y NDcPP: 13.1.0 hasta 13.1-37.234
- NetScaler ADC 12.1-FIPS: 12.1.0 hasta 12.1-55.327
- Las versiones 12.1 y 13.0 (fin de vida) permanecen vulnerables
Remediaciones de contorno
No existen remediaciones de contorno disponibles además de la actualización a versiones corregidas.
Solución
Actualizar inmediatamente a las versiones corregidas:
- NetScaler ADC y Gateway 14.1-43.56 o posterior
- NetScaler ADC y Gateway 13.1-58.32 o posterior
- NetScaler ADC 13.1-FIPS y NDcPP 13.1-37.235 o posterior
- NetScaler ADC 12.1-FIPS 12.1-55.328 o posterior
- Ejecutar comandos oficiales para finalizar todas las sesiones ICA y PCoIP activas después de la actualización
Fuentes primarias y secundarias
Microsoft Remote Desktop Client
Descripción
La vulnerabilidad permite que atacantes ejecuten código arbitrario en sistemas cliente a través de una combinación de recorrido de ruta relativa y controles de acceso inadecuados. El atacante puede explotar la falla cuando una víctima se conecta a un servidor RDP malicioso, escapando de las restricciones de directorio y ejecutando código arbitrario en el sistema cliente. La vulnerabilidad explota circunstancias donde un atacante manipula cómo se referencian los recursos de archivos o sesiones, escapando de los límites impuestos por restricciones de directorio.
Sistemas afectados
Las siguientes versiones del producto son afectadas:
- Windows Server 2008 hasta Windows 11 24H2
- Windows 10 (versiones 1607 hasta 22H2) y Windows 11 (22H2, 23H2 hasta 24H2)
- Remote Desktop Client para Windows Desktop hasta la versión 1.2.6353.0
- Windows App Client hasta la versión 2.0.559.0
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Microsoft lanzó actualizaciones de seguridad integrales el 8 de julio de 2025 a través de los artículos de Knowledge Base KB5062553 y KB5062552. Las versiones corregidas incluyen build 10.0.26100.4652 para Windows 11 24H2 y 10.0.22631.5624 para Windows 11 23H2. Aplique inmediatamente las actualizaciones de seguridad disponibles.
Fuentes primarias y secundarias
Placas Base GIGABYTE/AORUS
Descripción
Las cuatro vulnerabilidades identificadas como CVE-2025-7026, CVE-2025-7027, CVE-2025-7028 y CVE-2025-7029 son fallas de corrupción de memoria en el System Management Mode (SMM) que permiten que atacantes con acceso local eleven privilegios o ejecuten código arbitrario en el entorno altamente privilegiado SMM. La CVE-2025-7026 permite escrituras arbitrarias en el System Management RAM (SMRAM) a través de un puntero no verificado en la función CommandRcx0, pudiendo llevar a la escalada de privilegios a SMM y compromiso persistente del firmware. La CVE-2025-7027 involucra una vulnerabilidad de doble desreferencia de puntero que permite escribir contenido arbitrario en el SMRAM usando un puntero controlado por el atacante. La CVE-2025-7028 afecta el manipulador SMI (SmiFlash) que proporciona acceso de lectura/escritura al SMRAM debido a la falta de validación de estructuras de punteros de función, pudiendo llevar a la instalación de malware. La CVE-2025-7029 resulta del uso no verificado del registro RBX que permite control del atacante sobre punteros OcHeader y OcData en la lógica de configuración de energía y térmica, resultando en escrituras arbitrarias en el SMRAM.
Sistemas afectados
Las siguientes versiones del producto son afectadas:
- Más de 240 modelos de placas base GIGABYTE/AORUS (incluyendo revisiones, variantes y ediciones específicas por región)
- Productos con chipsets Intel H110 hasta Z590
- Firmware actualizado entre finales de 2023 y mediados de agosto de 2024
- Modelos End-of-Life: IMB1900/J1800/J1900/J4005
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para estas vulnerabilidades.
Solución
GIGABYTE lanzó actualizaciones de BIOS en junio de 2025 para corregir las vulnerabilidades. Los usuarios deben aplicar inmediatamente las actualizaciones de BIOS disponibles. Los modelos en fin de vida no recibirán actualizaciones de seguridad y deben ser reemplazados.
Fuentes primarias y secundarias
WinRAR
Descripción
La falla permite que atacantes remotos ejecuten código arbitrario a través de una vulnerabilidad de recorrido de directorio en el manejo de rutas de archivos dentro de archivos comprimidos. Una ruta de archivo especialmente creada puede hacer que el proceso navegue a directorios no intencionados durante la extracción. Cuando se extrae un archivo, las versiones afectadas pueden ser inducidas a usar una ruta definida en un archivo comprimido especialmente creado, en lugar de la ruta especificada por el usuario, permitiendo que los archivos se coloquen en ubicaciones sensibles del sistema, como directorios de inicio automático.
Sistemas afectados
Las siguientes versiones del producto son afectadas:
- WinRAR versión 7.11 y anteriores
- Versiones Windows de RAR, UnRAR, código fuente portátil UnRAR y UnRAR.dll
- Las versiones Unix, Android y código fuente portátil UnRAR no se ven afectadas
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
RARLAB corrigió la vulnerabilidad en WinRAR versión 7.12 Final, lanzado el 25 de junio de 2025. Los usuarios deben actualizar inmediatamente a esta versión o superior para proteger sus sistemas contra esta falla de seguridad.