Plataforma
windows
Componente
power-automate-for-desktop
Corregido en
2.52.62.25009
La vulnerabilidad CVE-2025-21187 es una falla de ejecución remota de código (RCE) que afecta a Microsoft Power Automate for Desktop. Esta falla permite a un atacante ejecutar código malicioso en el sistema víctima. Afecta a las versiones desde 1.0.0.0 hasta 2.52.62.25009. Microsoft ha lanzado una actualización para mitigar este riesgo.
Un atacante que explote con éxito esta vulnerabilidad podría obtener control total sobre el sistema afectado. Esto implica la capacidad de instalar programas, ver, cambiar o eliminar datos, y crear nuevas cuentas de usuario. El impacto potencial es significativo, especialmente en entornos donde Power Automate for Desktop se utiliza para automatizar tareas sensibles o acceder a información confidencial. La ejecución de código arbitrario podría llevar a la exfiltración de datos, la instalación de malware, o incluso el uso del sistema comprometido como punto de apoyo para atacar otros sistemas en la red.
Esta vulnerabilidad fue publicada el 14 de enero de 2025. Actualmente no se encuentra listada en el KEV de CISA, ni se ha reportado explotación activa en campañas conocidas. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada.
Organizations heavily reliant on Power Automate for Desktop for unattended automation tasks are particularly at risk. This includes environments where automation flows interact with sensitive data or critical systems. Users with administrative privileges on systems running Power Automate for Desktop are also at higher risk, as they may be able to execute malicious code with elevated privileges.
• windows / supply-chain:
Get-Process -Name 'PowerAutomateDesktop.exe' -ErrorAction SilentlyContinue |
Where-Object {$_.Modules -match 'malicious_module_name'}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*PowerAutomate*'} | Format-List TaskName, Actions• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Microsoft-Windows-PowerAutomateDesktop']]]' | Format-List -Property TimeCreated, Messagedisclosure
Estado del Exploit
EPSS
0.46% (64% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-21187 es actualizar Power Automate for Desktop a la versión 2.52.62.25009 o superior. Si la actualización causa problemas de compatibilidad, considere la posibilidad de revertir a una versión anterior estable antes de aplicar la actualización. Como medida temporal, se recomienda restringir el acceso a Power Automate for Desktop a usuarios autorizados y monitorear la actividad del sistema en busca de comportamientos sospechosos. No existen reglas WAF o proxies específicas conocidas para esta vulnerabilidad, pero la segmentación de red y el control de acceso son prácticas recomendadas.
Actualice Microsoft Power Automate for Desktop a la versión 2.52.62.25009 o posterior. Esto solucionará la vulnerabilidad de ejecución remota de código.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-21187 is a Remote Code Execution vulnerability in Microsoft Power Automate for Desktop allowing attackers to execute arbitrary code. It has a HIGH severity rating and affects versions 1.0.0.0–2.52.62.25009.
You are affected if you are using Power Automate for Desktop versions 1.0.0.0 through 2.52.62.25009. Check your installed version and upgrade if necessary.
Upgrade to Power Automate for Desktop version 2.52.62.25009 or later to remediate the vulnerability. Consider restricting network access and reviewing automation flows as interim measures.
Exploitation activity is currently being monitored, and the probability is assessed as medium. Stay informed about security advisories and threat intelligence updates.
Refer to the official Microsoft security advisory for CVE-2025-21187 on the Microsoft Security Response Center website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.