TheVortiq
Software

CISA añade fallo RCE de SharePoint a su catálogo KEV: la predicción de Microsoft falla

La agencia confirma explotación activa de CVE-2026-45659, una vulnerabilidad que Microsoft consideró de explotación 'menos probable'.

5 de julio de 2026 · 5 min de lectura

a close up of a green light in a server
Foto de Tyler en Unsplash

¿Qué ha ocurrido?

El 18 de junio de 2026, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) añadió la vulnerabilidad CVE-2026-45659 a su catálogo Known Exploited Vulnerabilities (KEV). Este fallo de ejecución remota de código (RCE) en Microsoft SharePoint Server, causado por una deserialización insegura, afecta a SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016. Microsoft ya había lanzado parches en su actualización de seguridad de mayo de 2026, pero CISA confirmó que los atacantes están explotando activamente la vulnerabilidad en ataques reales, contradiciendo la evaluación inicial de Microsoft, que clasificó la probabilidad de explotación como 'menos probable'.

¿Por qué es importante?

La inclusión en el catálogo KEV es un indicador inequívoco de que la vulnerabilidad se está utilizando en ataques reales. Aunque CISA no ha revelado quién está explotando el fallo ni la magnitud de los ataques, su directiva es clara: las agencias federales civiles deben aplicar los parches antes del 4 de julio de 2026 o retirar los sistemas afectados. La vulnerabilidad tiene una puntuación CVSS de 8.8 (alta), y aunque no es pre-autenticación, cualquier atacante con credenciales válidas y permisos de 'Miembro del sitio' puede explotarla de forma remota con baja complejidad. Microsoft señaló en su aviso: 'Cualquier atacante autenticado podría desencadenar esta vulnerabilidad. No requiere privilegios de administrador u otros elevados'. Esto la convierte en un vector crítico una vez que el atacante tiene acceso inicial, ya que los permisos de 'Miembro del sitio' son comunes en entornos SharePoint.

Históricamente, las vulnerabilidades de SharePoint han sido un objetivo recurrente. Por ejemplo, CVE-2023-29357, también un RCE en SharePoint, fue clasificado por Microsoft como 'Exploitation More Likely' y efectivamente se explotó masivamente. La diferencia aquí es que Microsoft evaluó CVE-2026-45659 como 'Less Likely', una predicción que ha quedado desmentida por los hechos. Esto subraya un patrón preocupante: los parches proporcionan una hoja de ruta para los atacantes, que pueden aplicar ingeniería inversa para crear exploits. Como señala The Register, 'la historia tiene la costumbre de hacer que esos pronósticos parezcan optimistas una vez que los parches dan a los atacantes una hoja de ruta para aplicar ingeniería inversa'.

Consecuencias y plazos

CISA exige a las agencias federales civiles aplicar los parches antes del 4 de julio de 2026, siguiendo la Directiva Operativa Vinculante 26-04. La agencia advierte que 'este tipo de vulnerabilidad es un vector de ataque frecuente para actores maliciosos y plantea riesgos significativos para la empresa federal'. Para el sector privado, la inclusión en KEV es una señal de alerta máxima: los atacantes ya están explotando activamente el fallo, y la ventana de oportunidad para parchear se está cerrando rápidamente. Las organizaciones que aún no han aplicado el parche de mayo de 2026 deben hacerlo de inmediato, ya que cualquier retraso aumenta el riesgo de compromiso.

El impacto potencial es amplio. SharePoint es una plataforma ampliamente utilizada para colaboración y gestión de documentos en empresas y gobiernos. Un atacante que explote CVE-2026-45659 podría ejecutar código arbitrario en el servidor, lo que podría llevar al robo de datos, instalación de malware o movimiento lateral dentro de la red. Dado que la vulnerabilidad requiere autenticación, los atacantes probablemente la combinarán con otras técnicas para obtener credenciales iniciales, como phishing o explotación de otras vulnerabilidades. La baja complejidad del ataque y la falta de necesidad de privilegios elevados hacen que sea un vector atractivo para actores de amenazas persistentes avanzadas (APT) y grupos de ransomware.

¿Qué deben saber los lectores?

  • Parchear inmediatamente: Las actualizaciones de mayo de Microsoft corrigen CVE-2026-45659. Si aún no se han aplicado, hágalo sin demora. Verifique que todos los sistemas SharePoint afectados estén actualizados.
  • Revisar permisos: La vulnerabilidad requiere solo permisos de 'Miembro del sitio'. Limitar el número de usuarios con estos permisos reduce la superficie de ataque. Considere implementar el principio de mínimo privilegio.
  • Monitorear actividad: Buscar signos de explotación, como ejecución de código inesperada, procesos anómalos en servidores SharePoint, o conexiones de red sospechosas. Utilice herramientas de detección de endpoints (EDR) y análisis de registros.
  • No confiar en evaluaciones de 'menos probable': La historia muestra que los parches proporcionan una hoja de ruta para los atacantes, que pueden invertir el código para crear exploits. Parchee basándose en la gravedad técnica, no en estimaciones de probabilidad.

“Cualquier atacante autenticado podría desencadenar esta vulnerabilidad. No requiere privilegios de administrador u otros elevados”, señaló Microsoft en su aviso.

Contexto histórico

No es la primera vez que las predicciones de Microsoft sobre explotación resultan optimistas. En 2023, CVE-2023-29357 (también en SharePoint) fue clasificado como 'Exploitation More Likely' y efectivamente se explotó masivamente. La diferencia aquí es la calificación 'Less Likely', que ha quedado desmentida por los hechos. La inclusión en KEV subraya la necesidad de parchear basándose en la gravedad técnica y no en estimaciones de probabilidad. Además, el ciclo de vida de esta vulnerabilidad refleja un patrón común: Microsoft lanza un parche, los atacantes lo analizan, desarrollan un exploit y comienzan los ataques. CISA, al confirmar la explotación activa, actúa como un catalizador para que las organizaciones prioricen el parcheado.

Comparado con eventos anteriores, como la vulnerabilidad CVE-2021-40444 en MSHTML, que también fue añadida al KEV tras ser explotada activamente, vemos que el tiempo entre la publicación del parche y la inclusión en KEV se ha acortado. En el caso de CVE-2026-45659, el parche se lanzó en mayo de 2026 y CISA lo añadió al KEV en junio, apenas un mes después. Esto indica que los atacantes están actuando con rapidez, y que las organizaciones deben hacer lo mismo.

Recomendaciones finales

Las organizaciones que ejecutan SharePoint on-premises deben priorizar la aplicación del parche de seguridad de mayo de 2026. Además, revisar los registros de acceso y actividad en busca de comportamientos anómalos. La ventana de oportunidad para los atacantes se ha abierto; la velocidad de parcheado determinará quién gana la carrera. Para aquellos que no puedan parchear de inmediato, CISA recomienda considerar medidas de mitigación como aislar los servidores afectados o implementar reglas de firewall para restringir el acceso. Sin embargo, la única solución definitiva es aplicar el parche. En un panorama donde las vulnerabilidades de SharePoint siguen siendo un objetivo frecuente, la lección es clara: no subestime las advertencias y actúe con rapidez.

Puntos clave

  • CISA añadió CVE-2026-45659 a su catálogo KEV por explotación activa.
  • Microsoft había evaluado la explotación como 'menos probable'.
  • La vulnerabilidad permite RCE con permisos de 'Miembro del sitio'.
  • Afecta a SharePoint Server Subscription Edition, 2019 y 2016.
  • Plazo para agencias federales: parche antes del 4 de julio de 2026.

Preguntas frecuentes

¿Qué es CVE-2026-45659?

Es una vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server, causada por deserialización insegura. Permite a un atacante autenticado con permisos de miembro del sitio ejecutar código arbitrario en el servidor.

¿Por qué CISA la añadió al catálogo KEV?

Porque se ha confirmado su explotación activa en ataques reales, lo que supone un riesgo significativo para las organizaciones.

¿Qué versiones de SharePoint están afectadas?

SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016.

¿Qué deben hacer las organizaciones?

Aplicar el parche de seguridad de mayo de 2026 de Microsoft de inmediato. Revisar permisos de usuario y monitorear actividad sospechosa.

Fuentes utilizadas

Comentarios

Sé el primero en comentar.

Deja tu comentario