Microsoft ha anunciado la corrección de cuatro vulnerabilidades críticas en sus servicios de nube, incluyendo Azure DevOps, Azure Automation, Azure Storage y Power Apps. Una de estas vulnerabilidades, identificada como CVE-2025-29813, recibió la calificación máxima de gravedad según el sistema CVSS: 10 sobre 10, posicionándose como una de las más preocupantes detectadas en entornos cloud recientemente.
El fallo comprometía directamente a Visual Studio y su gestión de tokens de ejecución en proyectos alojados en Azure DevOps. Un atacante con acceso limitado podía intercambiar un token efímero por otro de larga duración, permitiéndole mantener un acceso persistente y escalar privilegios dentro del proyecto comprometido.
Por otra parte, se detectaron otros tres fallos críticos:
- CVE-2025-29827 (CVSS 9,9): Afectaba a Azure Automation debido a un problema de autorización que permitía a usuarios autenticados aumentar sus privilegios en entornos multiusuario, comprometiendo runbooks y procesos automatizados.
- CVE-2025-29972 (CVSS 9,9): Un error de server-side request forgery (SSRF) en Azure Storage Resource Provider, que permitía suplantar servicios internos y obtener acceso indebido a recursos o identidades.
- CVE-2025-47733 (CVSS 9,1): Otro SSRF que afectaba a Microsoft Power Apps, que no requería autenticación, facilitando la exfiltración de información mediante peticiones manipuladas.
Microsoft confirmó que ninguna de estas vulnerabilidades ha sido explotada activamente y todas han sido mitigadas desde el proveedor, sin requerir intervención directa de los usuarios. A pesar de esto, expertos en ciberseguridad aconsejan revisar registros de actividad, aplicar el principio de mínimo privilegio, separar entornos de desarrollo y producción, y monitorizar alertas de seguridad.
Este suceso resalta los riesgos inherentes de los entornos multi-tenant en la nube, subrayando la importancia de una gestión segura de identidades, permisos y comunicaciones internas. Microsoft, en sintonía con su iniciativa “Secure Future”, ha fortalecido su compromiso con la transparencia en la divulgación de vulnerabilidades, publicando identificadores CVE para fallos críticos incluso cuando no se requiere intervención de los clientes. Google ha adoptado una práctica similar en Google Cloud, promoviendo una cultura de seguridad compartida y preventiva.
La industria está cambiando hacia una mayor transparencia, reconociendo que la información completa y anticipada sobre vulnerabilidades es esencial para fortalecer la preparación defensiva del ecosistema digital.
Más información y referencias en Noticias Cloud.
