Contexto técnico: CVE-2026-45659 es una vulnerabilidad de deserialización de datos no confiables (CWE-502) identificada en Microsoft SharePoint Server. La vulnerabilidad ha sido catalogada por CISA en su Known Exploited Vulnerabilities (KEV) Catalog, lo que indica evidencia de explotación activa en entornos reales.
Mecanismo de explotación: La vulnerabilidad reside en el proceso de deserialización de objetos en Microsoft SharePoint Server. Cuando la plataforma deserializa datos provenientes de una fuente no confiable o manipulada, un atacante previamente autenticado puede inyectar un objeto serializado malicioso (también conocido como gadget chain). Durante el proceso de deserialización, el motor de .NET procesa el objeto sin validación suficiente, ejecutando las instrucciones embebidas en el mismo. Este vector es característico de los ataques de tipo Insecure Deserialization, ampliamente documentados en entornos .NET/ASP.NET. La condición de autenticación previa (attacker is authorized) reduce el riesgo de explotación masiva no dirigida, pero no lo elimina, ya que cuentas con privilegios bajos o credenciales comprometidas son suficientes para desencadenar el ataque.
Impacto potencial: Una explotación exitosa permite la ejecución remota de código (RCE) en el contexto del servidor SharePoint afectado. Esto puede derivar en: compromiso total del servidor SharePoint, movimiento lateral dentro de la red corporativa, exfiltración de datos confidenciales almacenados en SharePoint, despliegue de malware o ransomware, y escalada de privilegios adicional en el entorno Active Directory asociado. La puntuación CVSS 8.8 (HIGH) refleja el alto impacto en confidencialidad, integridad y disponibilidad del sistema afectado. El uso en campañas de ransomware no está confirmado actualmente (estado: Unknown), aunque la inclusión en el catálogo KEV de CISA exige tratamiento prioritario.
Cumplimiento normativo: Las agencias del Poder Ejecutivo Civil Federal (FCEB) de EE.UU. están obligadas a aplicar las mitigaciones antes del 4 de julio de 2026, conforme a la Directiva Operacional Vinculante BOD 26-04 de CISA. Se requiere además el cumplimiento de los requisitos de triaje forense (Forensics Triage Requirements) definidos en la guía de implementación de dicha directiva.