Microsoft ha lanzado una actualización que corrige una vulnerabilidad de ejecución remota de código que afecta a SharePoint. Esta vulnerabilidad podría ser aprovechada por un atacante malintencionado sin que se cumplan condiciones especiales.
Esta vulnerabilidad se rastrea como CVE-2026-45659 y tiene una puntuación CVSS de 8,8. Se le ha asignado una gravedad de crítico.
«La deserialización de datos no confiables en Microsoft Office SharePoint podría permitir que un atacante autorizado ejecute código en la red», dijo Microsoft en un aviso publicado la semana pasada.
Microsoft dice que la vulnerabilidad podría ser provocada por un atacante autenticado y no requiere administrador ni otros privilegios elevados.
«Un ataque basado en red podría permitir a un atacante autenticado con privilegios mínimos de miembro del sitio (PR:L) ejecutar código de forma remota en SharePoint Server», añadió el fabricante de Windows.
Microsoft ha reconocido que un investigador llamado MEOW descubrió e informó la falla. Se han publicado las siguientes actualizaciones de versión:
El mes pasado, Microsoft lanzó una solución para una vulnerabilidad de suplantación de identidad que afectaba a Microsoft SharePoint Server (CVE-2026-32201, puntuación CVSS: 6,5) y anunció que la vulnerabilidad estaba siendo explotada en estado salvaje.
Si bien el gigante tecnológico dice que es poco probable que se explote CVE-2026-45659, es imperativo que los usuarios apliquen las correcciones necesarias para una protección óptima, especialmente teniendo en cuenta el hecho de que los atacantes han utilizado repetidamente como armas varias fallas en la plataforma colaborativa a lo largo de los años.
Source link
