Microsoft ha publicado actualizaciones de seguridad que corrigen la vulnerabilidad CVE-2026-45659 en SharePoint Server: un fallo de deserialización de datos no confiables con una puntuación CVSS 8.8, que permite a cualquier usuario autenticado con permisos mínimos de miembro del sitio (Site Member) ejecutar código arbitrario en el servidor a través de la red. Los parches están disponibles para SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016. Aunque Microsoft considera que la probabilidad de explotación es baja, el historial de ataques contra SharePoint convierte la actualización rápida en una tarea prioritaria para los administradores.
Detalles técnicos de la vulnerabilidad
Según el boletín de Microsoft, la vulnerabilidad pertenece a la clase de deserialización de datos no confiables (CWE-502) en el componente Microsoft Office SharePoint. Características clave:
- Vector de ataque: de red; la explotación es posible de forma remota
- Privilegios requeridos: bajos (PR:L); bastan permisos de Site Member, no se necesitan privilegios de administrador
- Interacción del usuario: no requerida
- Nivel de gravedad: Important (según la clasificación de Microsoft)
- Puntuación CVSS: 8.8
El problema radica en que SharePoint Server procesa de forma incorrecta los datos serializados que provienen de fuentes no confiables. Un atacante autenticado con permisos mínimos de miembro del sitio puede enviar una petición especialmente diseñada que provoque la ejecución de código arbitrario en el servidor. Esto hace que la vulnerabilidad sea especialmente peligrosa en entornos corporativos, donde el acceso de nivel Site Member suele concederse a un amplio grupo de empleados.
Productos afectados y actualizaciones disponibles
Las actualizaciones de seguridad se publicaron el 12 de mayo de 2026 para tres versiones del producto:
- SharePoint Server Subscription Edition — KB5002863
- SharePoint Server 2019 — KB5002870
- SharePoint Enterprise Server 2016 — KB5002868
Según Microsoft, la vulnerabilidad fue descubierta y comunicada por un investigador bajo el seudónimo MEOW.
Evaluación del impacto
La deserialización de datos no confiables es una de las clases de vulnerabilidades más peligrosas en las aplicaciones web. En el contexto de SharePoint Server, esto significa que una cuenta comprometida de un empleado de base o de un contratista con acceso básico al sitio puede convertirse en el punto de entrada para la completa compromisión del servidor. Teniendo en cuenta que SharePoint suele almacenar documentos corporativos confidenciales, normativas internas y datos de proyectos, las consecuencias de un ataque exitoso pueden incluir filtración de datos, movimiento lateral en la red y persistencia en la infraestructura.
Cabe señalar que en abril de 2026 Microsoft ya corrigió una vulnerabilidad de suplantación en SharePoint Server (CVE-2026-32201, CVSS 6.5), que, según se informó, fue explotada en ataques reales. Esto confirma el interés sostenido de los atacantes en la plataforma SharePoint como vector de ataque.
Microsoft estima como baja la probabilidad de explotación de CVE-2026-45659 y, en el momento de la publicación, no hay casos confirmados de uso de la vulnerabilidad en ataques reales. La vulnerabilidad también no está incluida en el catálogo CISA KEV.
Recomendaciones
- Instale las actualizaciones de seguridad KB5002863, KB5002870 o KB5002868, según la versión de SharePoint Server que utilice. A pesar de la valoración de Microsoft de que «es menos probable su explotación», la puntuación CVSS 8.8 y el bajo umbral de entrada para el atacante justifican priorizar la actualización.
- Realice una auditoría de cuentas con permisos de Site Member y superiores. Revoque los permisos excesivos de usuarios inactivos y de proveedores externos.
- Revise los registros de SharePoint en busca de solicitudes anómalas, especialmente aquellas que contengan objetos serializados atípicos, procedentes de cuentas con permisos básicos.
- Considere la segmentación de la red: limite el acceso de red directo a los servidores SharePoint utilizando proxies inversos y WAF con reglas para detectar ataques de deserialización.
Se recomienda a los administradores de SharePoint Server instalar las actualizaciones correspondientes en la próxima ventana de mantenimiento, prestando especial atención a los servidores accesibles desde redes externas o que proporcionan acceso a un gran número de usuarios con permisos de Site Member. Paralelamente, conviene revisar los permisos: reducir el número de cuentas con derechos de miembro del sitio disminuye directamente la superficie de ataque para CVE-2026-45659.
