Microsoft ha confirmado la existencia de cuatro vulnerabilidades críticas en Azure y Power Apps, entre las que destaca CVE-2025-29813 con la puntuación CVSS 10/10, lo que la sitúa en el nivel más alto de criticidad. El resto también resulta grave (dos con 9,9 y una con 9,1) y aunque todas han sido parcheadas del lado del proveedor, ilustran los riesgos inherentes a los entornos cloud multi-tenant.
| CVE | Servicio afectado | CVSS | ¿Qué pasaba? | Riesgo principal |
|---|---|---|---|---|
| CVE-2025-29813 | Azure DevOps | 10,0 | Visual Studio gestionaba mal los pipeline job tokens: un atacante con acceso mínimo podía canjear un token efímero por otro de larga duración y mantener control persistente sobre el proyecto. | Escalada de privilegios y movimiento lateral dentro del proyecto. |
| CVE-2025-29827 | Azure Automation | 9,9 | Fallo de autorización (CWE-285) que permitía a un usuario autenticado elevar sus permisos en entornos compartidos. | Compromiso completo de automatizaciones y runbooks. |
| CVE-2025-29972 | Azure Storage Resource Provider | 9,9 | Vulnerabilidad SSRF que dejaba suplantar peticiones internas, presentándose como otros servicios o identidades. | Lectura o modificación no autorizada de datos y pivote a otros recursos. |
| CVE-2025-47733 | Microsoft Power Apps | 9,1 | Otra SSRF pero sin autenticación previa: bastaba enviar peticiones manipuladas para extraer información. cybersecuritynews.com | Exfiltración de datos expuestos por aplicaciones low-code. |
¿Debo hacer algo?
Microsoft afirma que ya mitigó los cuatro fallos en la propia plataforma y no requiere acción por parte de los clientes .
Aun así, se aconseja:
- Revisar los registros de pipelines, runbooks y almacenamiento en busca de actividades inusuales (tokens reutilizados, peticiones internas sospechosas, etc.).
- Aplicar principio de mínimo privilegio en identidades, service principals y suscripciones de Azure.
- Segmentar entornos de desarrollo y producción, evitando que un acceso limitado pueda escalar a recursos sensibles.
- Monitorizar métricas y alertas de Defender for Cloud o soluciones SIEM para detectar SSRF y uso anómalo de tokens.
Mantener una visibilidad continua y practicar hardening en permisos sigue siendo la mejor defensa cuando la “superficie” está en la nube del proveedor.
Más información:
- Winder, D. (11 de mayo de 2025). Microsoft confirms critical 10/10 cloud security vulnerability. Forbes. Recuperado el 13 de mayo de 2025, de https://www.forbes.com/sites/daveywinder/2025/05/11/microsoft-confirms-critical-1010-cloud-security-vulnerability/
- MITRE Corporation. CVE-2025-29813. Common Vulnerabilities and Exposures (CVE). https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29813
- MITRE Corporation. CVE-2025-29827. Common Vulnerabilities and Exposures (CVE). https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29827
- MITRE Corporation. CVE-2025-29972. Common Vulnerabilities and Exposures (CVE). https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29972
- MITRE Corporation. CVE-2025-47733. Common Vulnerabilities and Exposures (CVE). https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-47733
