Por qué 2025 ha sido un año especialmente crítico

La aceleración en la adopción de cloud, microservicios y frameworks JavaScript ha multiplicado la superficie de ataque de las empresas. En 2025 hemos visto vulnerabilidades de ejecución remota de código (RCE) sin autenticación en componentes que forman parte del stack tecnológico de millones de organizaciones. La ventana de explotación activa antes del parcheo ha sido, en algunos casos, de menos de 48 horas.

Criterio de selección: Incluimos CVEs con CVSS ≥ 7.5, explotación activa confirmada o PoC público disponible, e impacto directo en infraestructuras empresariales comunes en el mercado español.

Análisis técnico: CVEs críticos de 2025

CVE-2025-29927 Next.js — Bypass de Autenticación en Middleware CVSS 9.1
Tipo
Auth Bypass
Versiones afectadas
< 15.2.3 / < 14.2.25
Divulgado
Marzo 2025
El middleware de Next.js puede saltarse completamente enviando la cabecera x-middleware-subrequest con un valor específico. Esto permite a un atacante no autenticado acceder a rutas protegidas por middleware — paneles de administración, APIs privadas, páginas de pago — sin ninguna credencial.
GET /admin/dashboard HTTP/1.1
Host: objetivo.com
x-middleware-subrequest: middleware

HTTP/1.1 200 OK
<!-- Acceso completo sin autenticación -->
// Remediación
Actualizar a Next.js ≥ 15.2.3 o ≥ 14.2.25 inmediatamente. Si no es posible actualizar, bloquear la cabecera x-middleware-subrequest en el WAF o proxy inverso. Verificar si la autenticación de tu aplicación depende exclusivamente del middleware de Next.js.
CVE-2025-24813 Apache Tomcat — Remote Code Execution via Partial PUT CVSS 9.8
Tipo
RCE
Versiones afectadas
11.0.0-M1 a 11.0.2, 10.1.0-M1 a 10.1.34, 9.0.0.M1 a 9.0.98
Divulgado
Febrero 2025
Cuando la funcionalidad de Partial PUT está habilitada en Tomcat, un atacante puede cargar un archivo JSP malicioso a través de peticiones PUT parciales. Si el servidor tiene Default Servlet habilitado para escritura (no es el comportamiento por defecto pero existe en muchas instalaciones mal configuradas), el archivo se ejecuta como código Java, logrando RCE sin autenticación.
// Remediación
Actualizar a Tomcat ≥ 11.0.3, ≥ 10.1.35 o ≥ 9.0.99. Verificar que el Default Servlet no tenga readonly=false. Deshabilitar Partial PUT si no es necesario en web.xml.
CVE-2025-0282 Ivanti Connect Secure — Stack Buffer Overflow RCE CVSS 9.0
Tipo
RCE pre-auth
Versiones afectadas
ICS < 22.7R2.5, INP < 22.7R1.2
Divulgado
Enero 2025
Buffer overflow en la pila del componente web de Ivanti Connect Secure que permite ejecución de código remoto sin autenticación. Fue explotado activamente por grupos APT antes de la publicación del parche. Ivanti emitió un aviso de emergencia al detectar explotación en producción. Afecta a las soluciones VPN SSL de Ivanti, ampliamente usadas en entornos corporativos.
// Remediación
Actualizar a ICS ≥ 22.7R2.5 de inmediato. Revisar los logs de acceso y los IOCs publicados por Ivanti y CISA para detectar posible explotación previa. Considerar el restablecimiento de fábrica del dispositivo si se sospecha compromiso.
CVE-2025-1974 Kubernetes Ingress-NGINX — RCE sin Autenticación (IngressNightmare) CVSS 9.8
Tipo
RCE pre-auth
Versiones afectadas
ingress-nginx < 1.12.1 / < 1.11.5
Divulgado
Marzo 2025
Parte del conjunto de vulnerabilidades conocido como IngressNightmare. El webhook de admisión de ingress-nginx acepta peticiones sin autenticación desde dentro del clúster. Un atacante con acceso inicial al clúster puede inyectar configuraciones NGINX maliciosas que resultan en ejecución de código en el controlador con permisos de clúster elevados, potencialmente comprometiendo todos los secretos del clúster.
// Remediación
Actualizar ingress-nginx a ≥ 1.12.1 o ≥ 1.11.5. Si la actualización inmediata no es posible: restringir el acceso al webhook de admisión mediante NetworkPolicy, deshabilitar el webhook si no es estrictamente necesario y auditar los secretos del clúster.
CVE-2025-21333 Windows Hyper-V — Escalada de Privilegios a SYSTEM CVSS 7.8
Tipo
Privilege Escalation
Versiones afectadas
Windows 11, Windows Server 2025
Divulgado
Enero 2025 (Patch Tuesday)
Vulnerabilidad en el componente NT Kernel Integration VSP de Hyper-V que permite a un usuario local con privilegios bajos escalar a SYSTEM. Aunque requiere acceso local previo, es altamente relevante en escenarios post-explotación: un atacante que haya entrado por phishing o RDP puede usar esta vulnerabilidad para obtener control total del sistema. Fue explotado activamente en el mundo real antes del parche.
// Remediación
Aplicar las actualizaciones de seguridad de enero de 2025 (KB5049981 para Windows 11, KB5049983 para Server 2025). Priorizar en sistemas con Hyper-V habilitado en entornos de virtualización crítica.

Cómo gestionar CVEs críticos en tu organización

La velocidad de parcheo es el factor más determinante. En vulnerabilidades con explotación activa, la ventana de seguridad es de 24-72 horas desde la publicación del CVE. Estas son las prácticas que reducen el riesgo:

  • Suscríbete a fuentes de alertas: CISA KEV (Known Exploited Vulnerabilities), NVD, los boletines de tus proveedores y servicios como Vulncheck o GreyNoise para detección de explotación activa.
  • Inventario de activos actualizado: No puedes parchear lo que no sabes que tienes. Un inventario de software y versiones es la base de cualquier programa de gestión de vulnerabilidades.
  • SLA de parcheo por criticidad: Define tiempos máximos de parcheo según CVSS: CRÍTICO (>9.0) en 24h, ALTO (7.0-8.9) en 72h, MEDIO en 30 días.
  • Mitigaciones temporales: Cuando no es posible parchear inmediatamente, aplica las contramedidas del fabricante: reglas WAF, restricciones de red, configuraciones de hardening.
CVE 2025Next.jsApache TomcatIvantiKubernetesHyper-VRCE
// Análisis de exposición
¿Tu infraestructura está afectada por alguno de estos CVEs?

Realizamos un análisis de exposición rápido para determinar si tu infraestructura es vulnerable a los CVEs críticos activos y te orientamos sobre la prioridad de parcheo. Sin compromiso.

Solicitar análisis de exposición →