Aviso de seguridad: CVE202620963 - Vulnerabilidad de explotación activa de Microsoft SharePoint

CVE202620963 se publicó originalmente en enero de 2026, pero recientemente ha vuelto a ser objeto de atención debido a su explotación activa confirmada.

Resumen

CISA añadió la vulnerabilidad a su lista de vulnerabilidades explotadas conocidas (KEV) el 18 de marzo de 2026, a raíz de los informes de ataques en el mundo real. El fallo es una vulnerabilidad de ejecución remota de código en Microsoft SharePoint causada por un manejo inadecuado de datos no fiables durante la deserialización. Una vez activada, permite a los atacantes ejecutar código en el servidor SharePoint, y la información disponible indica que podría no ser necesaria la autenticación.

Dado que SharePoint a menudo almacena información interna sensible y sustenta flujos de trabajo de colaboración clave, una explotación exitosa puede conducir a importantes riesgos operativos y de seguridad de datos.

Qué permite la vulnerabilidad

Si se explota, un atacante puede

• Ejecutar código arbitrario en el servidor SharePoint.
• Obtener el control total del host
• Desplazarse lateralmente dentro del entorno
• Desplegar malware, puertas traseras o configurar la persistencia.
• Preparar potencialmente operaciones de robo de datos o ransomware

Esto parece ser un ataque remoto que puede no requerir credenciales, basado en la información actualmente disponible.

Versiones afectadas

Según la información publicada, los siguientes productos de Microsoft SharePoint están afectados:

• SharePoint Server 2016
• SharePoint Server 2019
• Edición de suscripción de SharePoint

Actividad actual de la amenaza

CVE202620963 está siendo explotado activamente. Si bien no se han identificado públicamente grupos de amenazas específicos, las técnicas observadas son coherentes con las utilizadas por los atacantes especializados en obtener acceso inicial para una mayor actividad de intrusión o despliegue de ransomware.

Medidas de mitigación recomendadas

1. Aplique los parches inmediatamente

Microsoft ha publicado actualizaciones de seguridad que abordan el problema. Actualizar todos los servidores SharePoint afectados a la última versión parcheada es el paso más importante.

2. Limite la exposición a la red

Asegúrese de que los servidores SharePoint no estén innecesariamente expuestos:

• Restrinja el acceso desde redes que no sean de confianza
• Aplique controles adecuados de cortafuegos y proxy inverso.
• Elimine cualquier exposición externa directa a menos que sea absolutamente necesario

3. Refuerce la supervisión y el registro

Aumente la supervisión de los servidores afectados para detectar

• Modificaciones de archivos inusuales o no autorizadas
• Procesos sospechosos ejecutándose bajo cuentas de servicio de SharePoint
• Conexiones de red salientes inesperadas

4. Revise los permisos y controles de acceso

Audite los roles administrativos y las cuentas de servicio para asegurarse de que se asignan los privilegios mínimos.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngase en contactopara averiguar cómo puede proteger su organización.