CIBERPLANETA_
🟠 SEVERIDAD ALTA 01 Jul 2026 22:49

Alerta de Seguridad: Microsoft SharePoint Server Deserialización de Datos No Confiables con Ejecución Remota de Código (CVE-2026-45659)

Alerta de Seguridad: Microsoft SharePoint Server Deserialización de Datos No Confiables con Ejecución Remota de Código (CVE-2026-45659)

Vulnerabilidad crítica de deserialización (CWE-502) en Microsoft SharePoint Server permite a atacantes autenticados ejecutar código arbitrario de forma remota. CVSS 8.8. Fecha límite FCEB: 2026-07-04.

Contexto técnico: CVE-2026-45659 es una vulnerabilidad de deserialización de datos no confiables (CWE-502) identificada en Microsoft SharePoint Server. La vulnerabilidad ha sido catalogada por CISA en su Known Exploited Vulnerabilities (KEV) Catalog, lo que indica evidencia de explotación activa en entornos reales.

Mecanismo de explotación: La vulnerabilidad reside en el proceso de deserialización de objetos en Microsoft SharePoint Server. Cuando la plataforma deserializa datos provenientes de una fuente no confiable o manipulada, un atacante previamente autenticado puede inyectar un objeto serializado malicioso (también conocido como gadget chain). Durante el proceso de deserialización, el motor de .NET procesa el objeto sin validación suficiente, ejecutando las instrucciones embebidas en el mismo. Este vector es característico de los ataques de tipo Insecure Deserialization, ampliamente documentados en entornos .NET/ASP.NET. La condición de autenticación previa (attacker is authorized) reduce el riesgo de explotación masiva no dirigida, pero no lo elimina, ya que cuentas con privilegios bajos o credenciales comprometidas son suficientes para desencadenar el ataque.

Impacto potencial: Una explotación exitosa permite la ejecución remota de código (RCE) en el contexto del servidor SharePoint afectado. Esto puede derivar en: compromiso total del servidor SharePoint, movimiento lateral dentro de la red corporativa, exfiltración de datos confidenciales almacenados en SharePoint, despliegue de malware o ransomware, y escalada de privilegios adicional en el entorno Active Directory asociado. La puntuación CVSS 8.8 (HIGH) refleja el alto impacto en confidencialidad, integridad y disponibilidad del sistema afectado. El uso en campañas de ransomware no está confirmado actualmente (estado: Unknown), aunque la inclusión en el catálogo KEV de CISA exige tratamiento prioritario.

Cumplimiento normativo: Las agencias del Poder Ejecutivo Civil Federal (FCEB) de EE.UU. están obligadas a aplicar las mitigaciones antes del 4 de julio de 2026, conforme a la Directiva Operacional Vinculante BOD 26-04 de CISA. Se requiere además el cumplimiento de los requisitos de triaje forense (Forensics Triage Requirements) definidos en la guía de implementación de dicha directiva.

RCE (Ejecución Remota de Código) autenticado mediante red. Vector: Network (AV:N). Complejidad de ataque: Low (AC:L). Requiere autenticación previa con privilegios bajos (PR:L). Sin interacción de usuario (UI:N). Scope: Changed (S:C). Impacto: Alto en Confidencialidad (C:H), Integridad (I:H) y Disponibilidad (A:H). El atacante explota el proceso de deserialización de objetos .NET no validados en SharePoint Server enviando payloads serializados maliciosos a través de la red, logrando ejecución arbitraria de código en el contexto del proceso servidor.

CVEs (1)
CVE-2026-45659
  • Aplicar el parche oficial de Microsoft: Consultar y aplicar inmediatamente las actualizaciones de seguridad disponibles en el Microsoft Security Response Center (MSRC) para CVE-2026-45659: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659. Verificar las versiones específicas de SharePoint Server afectadas y los números de KB correspondientes en el advisory oficial.
  • Priorización FCEB: Las agencias federales deben aplicar las mitigaciones antes del 4 de julio de 2026, conforme a la BOD 26-04 de CISA. Revisar las pautas de parcheado según la clasificación de exposición a internet del activo.
  • Evaluación de exposición: Identificar todas las instancias de Microsoft SharePoint Server en el inventario de activos. Priorizar aquellas expuestas directamente a internet o accesibles desde redes no confiables.
  • Mitigaciones alternativas: En caso de que la aplicación del parche no sea inmediatamente posible, evaluar la restricción de acceso a SharePoint Server mediante controles de red (firewall, segmentación, VPN obligatoria). Si no existen mitigaciones disponibles, considerar la interrupción temporal del servicio según las directrices BOD 26-04 para servicios en la nube y on-premise.
  • Triaje forense: Cumplir con los requisitos de triaje forense de CISA (Forensics Triage Requirements) para detectar posibles signos de compromiso previo o explotación activa. Revisar logs de acceso, eventos de autenticación y ejecución de procesos en el servidor SharePoint.
  • Monitorización activa: Implementar reglas de detección en SIEM y EDR orientadas a identificar procesos anómalos generados desde el proceso de SharePoint (w3wp.exe, owstimer.exe), ejecuciones de PowerShell o cmd.exe desde contextos IIS, y tráfico de red inusual desde el servidor SharePoint.
  • Control de autenticación: Reforzar la autenticación multifactor (MFA) para todos los accesos a SharePoint Server, reduciendo la superficie de ataque explotable mediante credenciales comprometidas.
  • Revisión de cuentas con acceso: Auditar y limitar el número de cuentas con acceso autenticado a SharePoint Server, aplicando el principio de mínimo privilegio.
[INFO] CVE-2026-45659: Vulnerabilidad Crítica de Deserialización en Microsoft SharePoint Server Explotada Activamente  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2026-45659: Vulnerabilidad Crítica de Deserialización en Microsoft SharePoint Server Explotada Activamente  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·