BBLabs NewsBBLabs News
NoticiasTodas las noticiasTemas
EN
BBLabs NewsBBLabs News

BBLabs News

Una historia al día. Cero ruido.

Newsletter técnica de ciberseguridad. Una historia al día sobre CVEs críticos, brechas, bug bounty e IA. Filtrado por IA, escrito para humanos.

Producto

  • Hemeroteca
  • Ediciones
  • Temas
  • Glosario
  • RSS
  • Atom
  • JSON Feed

Editorial

  • Acerca de
  • Suscribirse
  • Cuenta
  • English

Legal

  • Privacidad
  • Términos
  • Contacto: team@bblabs.es

Conectar

  • YouTube · @0xGorka
  • Instagram · @bblabs.es
  • Discord BBLabs
  • Discord Bug Bounty ES
31 artículos·10 ediciones·Desde 2026·Hecho en España
© 2026 BBLabs News·Por Gorka El Bochi
BBLabs NewsBBLabs News
NoticiasTodas las noticiasTemas
EN
SharePoint RCE CVE-2026-45659: parche urgente — CVSS 8.8
Volver al inicioCVE

SharePoint RCE CVE-2026-45659: parche urgente — CVSS 8.8

Microsoft parchea CVE-2026-45659 en SharePoint Server: RCE por deserialización de datos sin condiciones especiales. CVSS 8.8.

  1. Inicio
  2. ›
  3. CVE
  4. ›
  5. SharePoint RCE CVE-2026-45659: parche urgente — CVSS 8.8
por Gorka El Bochi Morillo
·
2 min lectura
·26 de mayo, 2026

Qué pasa

Microsoft publicó en mayo de 2026 un parche para CVE-2026-45659, una vulnerabilidad de RCE (ejecución remota de código — el atacante ejecuta código arbitrario en el servidor objetivo) que afecta a Microsoft SharePoint Server en múltiples versiones.

La causa raíz es *deserialización de datos no confiables* — el proceso por el que una aplicación convierte datos serializados (objetos en formato binario o XML) de vuelta a estructuras en memoria. Si esos datos son maliciosos, la aplicación ejecuta código arbitrario sin saberlo. Es un vector clásico y persistente en el ecosistema .NET.

CVSS (puntuación estándar de gravedad de 0 a 10): 8.8. Microsoft la cataloga como "Important" — un escalón por debajo de Critical, normalmente porque requiere autenticación básica, no acceso anónimo. Pero no requiere privilegios elevados ni condiciones especiales. Un usuario estándar de SharePoint puede lanzar el exploit sin interacción adicional de la víctima.

Por qué importa

SharePoint no es solo un repositorio de documentos. En entornos enterprise está integrado con Active Directory (AD — sistema centralizado de identidades de Windows), gestiona flujos de trabajo críticos de negocio y almacena documentación confidencial de RR.HH., legal y finanzas.

Comprometer el servidor SharePoint equivale a: - Exfiltrar documentación interna sensible de toda la organización - Acceder a credenciales y tokens en memoria mediante herramientas como *Mimikatz (herramienta que extrae contraseñas y hashes directamente de la memoria de Windows)* - Usar el servidor como pivote para movimiento lateral hacia el resto de la red interna

Los grupos APT (hackers patrocinados por un estado) llevan años atacando SharePoint. CVE-2019-0604, otro RCE en SharePoint por el mismo vector de deserialización, fue explotado activamente por APT33 y otros actores. CVE-2026-45659 replica el mismo patrón técnico y tendrá el mismo nivel de interés.

No hay confirmación pública de explotación activa in-the-wild todavía, pero los servidores SharePoint on-premises son objetivo de escaneo sistemático.

Qué hacer

Si tienes SharePoint Server on-premises:

  • Aplica el parche de Microsoft inmediatamente — disponible vía Windows Update y Microsoft Update Catalog
  • Confirma versiones afectadas: SharePoint Server 2016, 2019 y Subscription Edition son el rango habitual
  • Revisa los logs de IIS y los ULS logs de SharePoint buscando requests inusuales con payloads serializados
  • Si no puedes parchear de inmediato, restringe el acceso a la interfaz web de SharePoint desde redes no confiables con reglas de firewall o WAF
  • Activa alertas en tu SIEM (sistema centralizado de logs y detección de amenazas) para patrones de deserialización o errores HTTP 500 repetidos en endpoints de SharePoint

Para equipos de SOC (equipo que monitoriza y responde a incidentes de seguridad): busca en los logs creación de procesos hijo desde `w3wp.exe` (proceso worker de IIS) — es el IOC (huella técnica que delata el ataque) más clásico de RCE por deserialización en SharePoint.

La deserialización en .NET es un problema estructural. Mientras Microsoft no refactorice los endpoints que aceptan objetos serializados, seguirán apareciendo CVEs en esta área. Parchea rápido y si tu SharePoint está expuesto a internet directamente sin WAF, ese es tu mayor riesgo operacional ahora mismo.

Qué hacer

  • Aplicar el parche CVE-2026-45659 de SharePoint Server inmediatamente.
  • Monitorizar procesos hijo de `w3wp.exe` para detectar RCE activo.
  • Restringir acceso web a SharePoint si no puedes parchear hoy.

Comparte esta noticia

Ayuda a que más gente descubra BBLabs News.

SharePoint RCE CVE-2026-45659: parche urgente — CVSS 8.8
VerticalDescargar imagen
LinkedInXWhatsApp

¿Te interesa CVE?

Suscríbete a esta rama y recibe lo más relevante cada día — sin spam, sin ruido.

Suscribirme

Artículos relacionados

Destacado
CVE1 jun 2026·2 min

Microsoft borra cuenta GitHub por zero-days sin CVD

Microsoft elimina la cuenta de GitHub de un investigador que publicó zero-days sin avisar al vendor, y defiende la divulgación coordinada.

  • Documentar timestamps y respuestas del vendor antes de publicar cualquier zero-day.
  • Publicar disclosures en plataformas neutras si el vendor no responde en 90 días.
  • Revisar las políticas de GitHub antes de publicar investigación sobre productos Microsoft.
Gorka El Bochi Morillo
Leer artículo
CVE31 may 2026·2 min

Parche de emergencia para SharePoint: actualiza ya

Microsoft lanzó un parche de emergencia para SharePoint fuera del ciclo habitual de actualizaciones, señal de explotación activa o riesgo crítico.

Leer artículo
CVE26 may 2026·2 min

PoC público: CVE-2026-31635 escala privilegios en Linux

PoC público para CVE-2026-31635 (DirtyDecrypt) en el kernel Linux habilita escalada local de privilegios a root.

Leer artículo

¿Quieres recibir noticias así cada día?

Ver todos los artículos
BBLabs NewsBBLabs News

BBLabs News

Una historia al día. Cero ruido.

Newsletter técnica de ciberseguridad. Una historia al día sobre CVEs críticos, brechas, bug bounty e IA. Filtrado por IA, escrito para humanos.

Producto

  • Hemeroteca
  • Ediciones
  • Temas
  • Glosario
  • RSS
  • Atom
  • JSON Feed

Editorial

  • Acerca de
  • Suscribirse
  • Cuenta
  • English

Legal

  • Privacidad
  • Términos
  • Contacto: team@bblabs.es

Conectar

  • YouTube · @0xGorka
  • Instagram · @bblabs.es
  • Discord BBLabs
  • Discord Bug Bounty ES
31 artículos·10 ediciones·Desde 2026·Hecho en España
© 2026 BBLabs News·Por Gorka El Bochi