Microsoft corrige 138 vulnerabilidades críticas que podrían comprometer sistemas
Publicado el
Microsoft ha publicado actualizaciones para 138 vulnerabilidades en su conjunto de productos, aunque ninguna de estas ha sido identificada como pública o bajo ataque activo. De las 138 fallas, 30 se clasifican como Críticas, 104 como Importantes, tres como Moderadas y una como Baja en severidad.
Entre las vulnerabilidades, 61 están relacionadas con escalamiento de privilegios, 32 son de ejecución remota de código, 15 de divulgación de información, 14 son de suplantación, ocho son de denegación de servicio, seis se refieren a elusión de características de seguridad y dos son de manipulación.
Una de las vulnerabilidades más críticas corregidas es la CVE-2026-41096, un fallo de desbordamiento de búfer en Windows DNS con un CVSS de 9.8. Esta vulnerabilidad permite que un atacante no autorizado ejecute código a través de la red. Microsoft señala que un atacante podría explotar esta vulnerabilidad enviando una respuesta DNS maliciosamente diseñada a un sistema Windows vulnerable, provocando que el cliente DNS procese incorrectamente la respuesta y corrompa la memoria, lo que podría permitir la ejecución de código remoto sin necesidad de autenticación.
Otra vulnerabilidad crítica es la CVE-2026-42826, que expone información sensible en Azure DevOps, permitiendo a un atacante no autorizado divulgar información a través de la red sin requerir acción del cliente. Asimismo, la CVE-2026-33109 permite a un atacante autorizado ejecutar código en Azure Managed Instance para Apache Cassandra, también sin requerir acción del cliente.
Las actualizaciones incluyen también la CVE-2026-42898, una vulnerabilidad de inyección de código en Microsoft Dynamics 365 que permite a un atacante autorizado ejecutar código a través de la red, y la CVE-2026-41089, que permite a un atacante no autorizado ejecutar código en Windows Netlogon sin necesidad de iniciar sesión previamente.
Además, se han corregido fallos que afectan a Microsoft Teams, Azure Cloud Shell y Azure Entra ID, entre otros, con puntuaciones CVSS que varían entre 9.1 y 10.0. Un experto de Rapid7 ha señalado que la CVE-2026-41103 permite a un atacante no autorizado hacerse pasar por un usuario existente, eludiendo así la autenticación en Entra ID.
Los usuarios y administradores de sistemas deben aplicar estos parches con urgencia para proteger sus entornos de posibles ataques que podrían comprometer la seguridad y confidencialidad de la información. La actualización de esta magnitud subraya la importancia de mantener los sistemas actualizados y de realizar auditorías de seguridad regulares para mitigar riesgos potenciales.