CISA advierte sobre vulnerabilidad crítica en SharePoint: CVE-2026-58644

Publicado el

La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha añadido recientemente la vulnerabilidad CVE-2026-58644 a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta falla afecta a Microsoft SharePoint Server, lo que obliga a las agencias del Federal Civilian Executive Branch (FCEB) a implementar las correcciones necesarias antes del 19 de julio de 2026.

La vulnerabilidad en cuestión tiene una puntuación de 9.8 en la escala CVSS, indicando su gravedad. Se trata de una vulnerabilidad de deserialización de datos no confiables que permite a un atacante no autorizado ejecutar código de forma arbitraria. Según un aviso de Microsoft, un atacante que se autentique como al menos Propietario de Sitio podría inyectar y ejecutar código de manera remota en el servidor SharePoint.

La explotación de esta vulnerabilidad es posible a través de internet, y presenta un bajo nivel de complejidad para los atacantes. No se requiere un conocimiento profundo del sistema, y los atacantes pueden lograr un éxito repetido con el mismo payload contra el componente vulnerable.

Versiones Afectadas

CVE-2026-58644 afecta a las siguientes versiones de SharePoint: - Microsoft SharePoint Server Subscription Edition - Microsoft SharePoint Server 2019 - Microsoft SharePoint Enterprise Server 2016

Los parches para solucionar esta vulnerabilidad fueron liberados como parte de las actualizaciones del Patch Tuesday el 14 de julio de 2026. Microsoft ha actualizado su boletín, confirmando que la vulnerabilidad ya ha sido explotada activamente, convirtiéndose en un zero-day antes de que se lanzaran las correcciones.

Otras Vulnerabilidades Relacionadas

CISA también ha advertido sobre la explotación activa de otras vulnerabilidades en SharePoint Server, incluyendo CVE-2026-32201, CVE-2026-45659, y CVE-2026-56164. Estas vulnerabilidades podrían permitir a los actores de amenazas obtener acceso no autorizado a instancias locales de SharePoint. Se ha señalado que afectan a todas las versiones de SharePoint Server en soporte y están relacionadas con la ejecución remota de código (RCE) y actividades posteriores a la explotación, como el robo de claves de máquina de Internet Information Services (IIS) y el uso de técnicas de deserialización.

Medidas de Protección Recomendadas

Para mitigar el riesgo asociado a estas vulnerabilidades, CISA ha recomendado las siguientes medidas de endurecimiento: - Aplicar los parches y actualizaciones de seguridad más recientes de Microsoft, asegurándose de que se han instalado correctamente y acortando los ciclos de parcheo siempre que sea posible. - Verificar que la integración de Antimalware Scan Interface (AMSI) esté habilitada para cada aplicación web de SharePoint. - Escanear y eliminar los artefactos de intrusión, incluidos las herramientas de recolección de claves de máquina, antes de rotar las claves de IIS para evitar su robo. - Establecer mecanismos de registro personalizados para detectar y monitorear actividades de explotación. - Evitar exponer los servidores de SharePoint directamente a internet, a menos que sea absolutamente necesario. Se debe bloquear el acceso externo a SharePoint Central Administration, restringir las comunicaciones de granja y base de datos a los sistemas necesarios, y revisar la guía de endurecimiento de seguridad de Microsoft para puertos, servicios y configuraciones específicas de Web.config.

Además, CISA ha añadido dos vulnerabilidades críticas relacionadas con Fortinet FortiSandbox (CVE-2026-25089 y CVE-2026-39808) al catálogo KEV, también debido a informes de explotación activa. Las agencias federales tienen plazo hasta el 19 de julio de 2026 para actualizar sus instancias a las versiones soportadas más recientes.

Fuente

Ver noticia original