CIBERPLANETA_
01 Jul 2026 · 20:50 Ciberplaneta News Vulnerabilidades 5 min de lectura
CVE-2026-45659: Vulnerabilidad Crítica de Deserialización en Microsoft SharePoint Server Explotada Activamente

CVE-2026-45659: Vulnerabilidad Crítica de Deserialización en Microsoft SharePoint Server Explotada Activamente

CVE-2026-45659: Deserialización de Datos No Confiables en Microsoft SharePoint Server

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha añadido el CVE-2026-45659 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando la explotación activa de una vulnerabilidad crítica de deserialización de datos no confiables en Microsoft SharePoint Server. Con una puntuación CVSS de 8.8 (HIGH), esta vulnerabilidad representa un riesgo significativo para organizaciones que dependan de SharePoint como plataforma de colaboración y gestión documental, requiriendo atención y acción inmediata por parte de los equipos de seguridad.

Análisis Técnico

La vulnerabilidad está clasificada bajo CWE-502: Deserialization of Untrusted Data, una categoría de debilidades ampliamente conocida en la comunidad de seguridad por su capacidad de facilitar la ejecución remota de código. La deserialización insegura ocurre cuando una aplicación procesa datos serializados provenientes de fuentes no confiables sin aplicar las validaciones y controles de integridad adecuados.

En el contexto de Microsoft SharePoint Server, el proceso de deserialización de objetos puede ser manipulado por un atacante autenticado para inyectar objetos maliciosos que, al ser procesados por el servidor, desencadenan la ejecución de código arbitrario. Según la descripción oficial de CISA, "Microsoft SharePoint Server contains a deserialization of untrusted data vulnerability which allows an authorized attacker to execute code over a network".

Vector de Ataque

  • Autenticación requerida: El atacante necesita credenciales válidas en el entorno SharePoint, lo que reduce el riesgo de explotación masiva pero no elimina la amenaza, especialmente en escenarios de credenciales comprometidas o ataques internos.
  • Vector de red: La explotación se produce a través de la red, lo que permite ataques remotos sin necesidad de acceso físico al sistema objetivo.
  • Impacto en confidencialidad, integridad y disponibilidad: Una explotación exitosa puede comprometer los tres pilares fundamentales de la seguridad de la información.
  • Complejidad de ataque: La puntuación CVSS 8.8 refleja una complejidad relativamente baja, lo que facilita la explotación por parte de actores con capacidades técnicas moderadas.

Mecanismo de Explotación

Los ataques basados en CWE-502 en plataformas .NET, como SharePoint, típicamente explotan cadenas de gadgets de deserialización. Un atacante puede enviar peticiones HTTP especialmente construidas que contengan objetos serializados maliciosos. Al deserializarse estos objetos en el lado del servidor, se pueden invocar métodos arbitrarios del framework .NET, lo que puede derivar en la ejecución de comandos del sistema operativo, escritura de archivos, o establecimiento de acceso persistente mediante webshells.

Impacto Potencial

La explotación exitosa de CVE-2026-45659 puede tener consecuencias devastadoras para las organizaciones afectadas:

  • Ejecución remota de código (RCE): El atacante obtiene capacidad de ejecutar código arbitrario en el contexto del proceso del servidor SharePoint.
  • Escalada de privilegios: Dependiendo de la configuración del servicio, el código ejecutado puede operar con privilegios elevados, facilitando el movimiento lateral.
  • Robo de datos sensibles: SharePoint frecuentemente almacena documentos corporativos confidenciales, datos de clientes y propiedad intelectual, todos susceptibles de exfiltración.
  • Compromiso de la cadena de suministro interna: Un SharePoint comprometido puede servir como vector para infectar a usuarios finales mediante documentos maliciosos distribuidos a través de la plataforma.
  • Persistencia avanzada: La instalación de webshells o backdoors puede garantizar acceso prolongado al entorno, incluso tras la aplicación de parches.
  • Interrupción del servicio: La manipulación de componentes críticos del servidor puede resultar en la interrupción de operaciones de negocio dependientes de SharePoint.

Es importante destacar que, aunque el campo de uso en ransomware está catalogado actualmente como Unknown (Desconocido), la naturaleza de esta vulnerabilidad —ejecución remota de código en una plataforma de colaboración empresarial ampliamente adoptada— la convierte en un candidato de alto riesgo para su integración en cadenas de ataque de grupos de ransomware. Los equipos de seguridad deben vigilar activamente indicadores de compromiso asociados.

Productos Afectados

La vulnerabilidad afecta a Microsoft SharePoint Server. Para obtener la lista completa y actualizada de versiones específicas afectadas, así como los parches correspondientes, se recomienda consultar directamente el advisory oficial de Microsoft:

Las organizaciones deben verificar todas las instancias de SharePoint Server en su inventario de activos, incluyendo implementaciones on-premises y entornos híbridos, prestando especial atención a aquellos sistemas con exposición a internet.

Recomendaciones y Mitigaciones

CISA ha emitido una directiva de acción requerida alineada con la Binding Operational Directive (BOD) 26-04. Las siguientes acciones son prioritarias:

Acciones Inmediatas

  • Aplicar parches del fabricante: Instalar de inmediato las actualizaciones de seguridad publicadas por Microsoft para CVE-2026-45659. Consultar el advisory oficial de MSRC para obtener los parches específicos según la versión de SharePoint.
  • Cumplir con BOD 26-04: Las agencias federales y organizaciones que sigan directrices CISA deben adherirse a los plazos establecidos en la Directiva Operacional Vinculante 26-04 para la priorización de actualizaciones de seguridad basadas en riesgo.
  • Seguir los requisitos de triage forense: Aplicar los procedimientos de triage forense detallados en la guía de implementación de BOD 26-04 para identificar posibles compromisos previos a la aplicación del parche.
  • Evaluar la exposición a internet: Determinar qué instancias de SharePoint Server tienen exposición directa a internet y priorizar su parcheo. Considerar la implementación de controles compensatorios como WAF (Web Application Firewall) si el parcheo inmediato no es posible.
  • Discontinuar el uso si no hay mitigaciones disponibles: Siguiendo las directrices de CISA, si no es posible aplicar las mitigaciones del fabricante, se debe considerar la discontinuación del uso del producto hasta que los parches estén disponibles y aplicados.

Medidas de Detección y Respuesta

  • Revisar logs de acceso de SharePoint en busca de solicitudes anómalas con payloads inusuales en parámetros o cuerpos de petición HTTP.
  • Monitorizar la creación de nuevos archivos en directorios web de SharePoint que puedan indicar la instalación de webshells.
  • Auditar cuentas de usuario con acceso a SharePoint y revisar actividades inusuales, especialmente accesos desde ubicaciones geográficas o rangos IP inesperados.
  • Implementar o reforzar reglas de SIEM para detectar patrones de deserialización maliciosa en tráfico hacia servidores SharePoint.
  • Realizar una revisión de integridad de los binarios y configuraciones del servidor SharePoint para detectar modificaciones no autorizadas.

Medidas Preventivas a Largo Plazo

  • Implementar el principio de mínimo privilegio para cuentas con acceso a SharePoint, limitando el impacto de credenciales comprometidas.
  • Configurar autenticación multifactor (MFA) obligatoria para todos los accesos a SharePoint, especialmente para cuentas administrativas.
  • Mantener un programa de gestión de vulnerabilidades que incluya escaneos regulares de SharePoint y otros servicios críticos.
  • Revisar y reforzar la segmentación de red para limitar el acceso lateral desde un servidor SharePoint comprometido.

Referencias Oficiales

// ¿qué te parece este artículo?
// comentarios (0)
// sin comentarios aún
inicia sesión o regístrate para comentar.
← volver
[INFO] CVE-2026-45659: Vulnerabilidad Crítica de Deserialización en Microsoft SharePoint Server Explotada Activamente  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2026-45659: Vulnerabilidad Crítica de Deserialización en Microsoft SharePoint Server Explotada Activamente  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·