Oracle ha publicado su Critical Patch Update (CPU) de julio de 2025, un paquete que corrige más de 300 fallos de seguridad en distintos productos de la compañía. Dentro de este conjunto, uno de los problemas más relevantes afecta directamente a MySQL Server: se trata de la vulnerabilidad CVE-2025-50085, una falla de Denegación de Servicio (DoS) localizada en InnoDB, el motor de almacenamiento que MySQL utiliza por defecto.
El fallo se encuentra en varias ramas activas del sistema gestor de bases de datos. Concretamente, impacta a todas las versiones de la serie 8.0 hasta la 8.0.42, a las versiones 8.4.0 a 8.4.5, y a las versiones 9.0.0 hasta la 9.3.0. Oracle ya ha publicado las versiones corregidas -8.0.43, 8.4.6 y 9.4.0- que solucionan este problema y cuya instalación se recomienda de manera inmediata.
La gravedad de la vulnerabilidad se ha valorado con un CVSS 5.5, lo que la sitúa en el nivel alto.
El CVSS (Common Vulnerability Scoring System) es un estándar ampliamente utilizado para estimar la severidad de una vulnerabilidad. Para calcularlo se valoran aspectos como la complejidad del ataque, el tipo de privilegios que necesita el atacante, la posibilidad de explotarlo de forma remota o local y el impacto que tendría sobre la confidencialidad, la integridad o la disponibilidad de los datos. Gracias a este marco, distintas organizaciones pueden comparar vulnerabilidades con un mismo criterio y decidir con mayor claridad qué parches deben aplicarse primero.
En este caso, el ataque puede lanzarse a través de la red y no requiere interacción del usuario, aunque sí privilegios elevados dentro del propio servidor MySQL. En la práctica, esto significa que un usuario con permisos administrativos podría forzar bloqueos o caídas del sistema, comprometiendo la disponibilidad del servicio e incluso ejecutando operaciones inesperadas más allá de los permisos habituales.
El impacto es especialmente sensible porque InnoDB es el motor predeterminado en versiones recientes de MySQL. Este motor en una pieza crítica en aplicaciones web, entornos empresariales y sistemas donde la consistencia de los datos es esencial. Un fallo de este tipo puede traducirse en interrupciones prolongadas o en un comportamiento impredecible en entornos de producción.
Frente a este riesgo, la medida prioritaria es actualizar a las versiones corregidas publicadas en julio de 2025. Como complemento, conviene reforzar la seguridad revisando si realmente es necesario permitir conexiones remotas a MySQL, aplicando el principio de menor privilegio para limitar los usuarios con permisos elevados, monitorizando accesos privilegiados y restringiendo las conexiones únicamente a los hosts autorizados mediante firewall.
Este parche forma parte del ciclo trimestral de actualizaciones de Oracle. En esta edición de julio, la compañía ha corregido vulnerabilidades en todo su ecosistema de productos, recordando a los usuarios una vez mas la importancia de mantener los sistemas actualizados y de aplicar una estrategia de defensa en profundidad. Incluso en escenarios donde los requisitos de explotación parecen limitar el riesgo.
