SharePoint RCE CVE-2026-45659: parche urgente — CVSS 8.8

Qué pasa

Microsoft publicó en mayo de 2026 un parche para CVE-2026-45659, una vulnerabilidad de RCE (ejecución remota de código — el atacante ejecuta código arbitrario en el servidor objetivo) que afecta a Microsoft SharePoint Server en múltiples versiones.

La causa raíz es *deserialización de datos no confiables* — el proceso por el que una aplicación convierte datos serializados (objetos en formato binario o XML) de vuelta a estructuras en memoria. Si esos datos son maliciosos, la aplicación ejecuta código arbitrario sin saberlo. Es un vector clásico y persistente en el ecosistema .NET.

CVSS (puntuación estándar de gravedad de 0 a 10): 8.8. Microsoft la cataloga como "Important" — un escalón por debajo de Critical, normalmente porque requiere autenticación básica, no acceso anónimo. Pero no requiere privilegios elevados ni condiciones especiales. Un usuario estándar de SharePoint puede lanzar el exploit sin interacción adicional de la víctima.

Por qué importa

SharePoint no es solo un repositorio de documentos. En entornos enterprise está integrado con Active Directory (AD — sistema centralizado de identidades de Windows), gestiona flujos de trabajo críticos de negocio y almacena documentación confidencial de RR.HH., legal y finanzas.

Comprometer el servidor SharePoint equivale a: - Exfiltrar documentación interna sensible de toda la organización - Acceder a credenciales y tokens en memoria mediante herramientas como *Mimikatz (herramienta que extrae contraseñas y hashes directamente de la memoria de Windows)* - Usar el servidor como pivote para movimiento lateral hacia el resto de la red interna

Los grupos APT (hackers patrocinados por un estado) llevan años atacando SharePoint. CVE-2019-0604, otro RCE en SharePoint por el mismo vector de deserialización, fue explotado activamente por APT33 y otros actores. CVE-2026-45659 replica el mismo patrón técnico y tendrá el mismo nivel de interés.

No hay confirmación pública de explotación activa in-the-wild todavía, pero los servidores SharePoint on-premises son objetivo de escaneo sistemático.

Qué hacer

Si tienes SharePoint Server on-premises:

• Aplica el parche de Microsoft inmediatamente — disponible vía Windows Update y Microsoft Update Catalog
• Confirma versiones afectadas: SharePoint Server 2016, 2019 y Subscription Edition son el rango habitual
• Revisa los logs de IIS y los ULS logs de SharePoint buscando requests inusuales con payloads serializados
• Si no puedes parchear de inmediato, restringe el acceso a la interfaz web de SharePoint desde redes no confiables con reglas de firewall o WAF
• Activa alertas en tu SIEM (sistema centralizado de logs y detección de amenazas) para patrones de deserialización o errores HTTP 500 repetidos en endpoints de SharePoint

Para equipos de SOC (equipo que monitoriza y responde a incidentes de seguridad): busca en los logs creación de procesos hijo desde `w3wp.exe` (proceso worker de IIS) — es el IOC (huella técnica que delata el ataque) más clásico de RCE por deserialización en SharePoint.

La deserialización en .NET es un problema estructural. Mientras Microsoft no refactorice los endpoints que aceptan objetos serializados, seguirán apareciendo CVEs en esta área. Parchea rápido y si tu SharePoint está expuesto a internet directamente sin WAF, ese es tu mayor riesgo operacional ahora mismo.