Seguridad

CISA alerta de ataques activos contra un fallo grave en Microsoft SharePoint Server

La agencia estadounidense CISA ha incluido CVE-2026-45659 en su catálogo Known Exploited Vulnerabilities (KEV) tras detectar explotación activa. El fallo permite ejecución remota de código en Microsoft SharePoint Server a partir de una deserialización insegura y exige aplicar con urgencia los parches de mayo de 2026.

Entry image

La agencia federal CISA ha puesto el foco en CVE-2026-45659, un fallo de ejecución remota de código (RCE) en Microsoft SharePoint Server que ya se utiliza en ataques reales y que afecta a instalaciones sin parchear. El problema se apoya en deserialización de datos no confiables, una clase de vulnerabilidad especialmente delicada en entornos corporativos porque puede abrir la puerta a la ejecución de código en el servidor.

El matiz técnico importa. La explotación requiere autenticación, pero no privilegios elevados: basta una cuenta con permisos mínimos comparables al rol de miembro del sitio. A partir de ahí, el atacante puede forzar el procesamiento de datos serializados de forma insegura y llegar a ejecutar código en el servidor. Además, el ataque no necesita interacción de usuario y se considera de baja complejidad, un cóctel que suele favorecer intentos de automatización cuando el servicio se expone a Internet.

Microsoft publicó actualizaciones de seguridad el 21 de mayo de 2026 para SharePoint Enterprise Server 2016, SharePoint Server 2019 y SharePoint Server Subscription Edition. La compañía también reconoció un error de documentación: el CVE no apareció en la lista de ese ciclo de parches, aunque los entornos con las actualizaciones de mayo instaladas por completo no deberían requerir medidas adicionales más allá de confirmar niveles de parche.

La urgencia crece por un dato que retrata el riesgo potencial: se han observado más de 10.000 servidores SharePoint expuestos a Internet en telemetría pública, sin que esa cifra permita inferir cuántos están al día. En paralelo, CISA ha fijado el sábado 4 de julio de 2026 como fecha límite de remediación para organismos federales dentro de la directiva BOD 26-04, una señal habitual de priorización operativa cuando existe explotación activa.

En la práctica, la respuesta pasa por tres frentes. Primero, aplicar los parches de mayo de 2026 o posteriores y verificar que la corrección está realmente desplegada en todas las granjas. Segundo, inventariar instancias y reducir exposición, revisando publicación, segmentación y accesos, porque un servidor accesible desde fuera multiplica el riesgo. Tercero, revisar logs y telemetría para buscar indicios de compromiso y activar respuesta a incidentes ante cualquier anomalía. Por ahora no hay detalles públicos confirmados sobre campañas concretas, actores o indicadores de compromiso, lo que hace aún más importante tratar cualquier instancia anterior al 21 de mayo como de alto riesgo y acelerar contención y validación de integridad.

Más información

La entrada CISA alerta de ataques activos contra un fallo grave en Microsoft SharePoint Server se publicó primero en Una Al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.