Microsoft SharePoint on-premise enfrenta esta semana una doble amenaza activa. El zero-day CVE-2026-32201 — un fallo de spoofing y cross-site scripting sin autenticación requerida que fue parcheado el 14 de abril y que la CISA añadió al catálogo KEV ese mismo mes — sigue siendo explotado activamente en los más de 1.300 servidores SharePoint on-premise expuestos a internet que no han aplicado el parche. Y ayer, 27 de mayo, Microsoft publicó el CVE-2026-45659 (CVSS 8.8), un nuevo fallo de ejecución remota de código por deserialización de datos no confiables en SharePoint que cualquier usuario autenticado puede explotar. Con 44 días transcurridos desde el primer parche — exactamente el tiempo medio de remediación que el DBIR 2026 documentó ayer mismo — el mapa de riesgo es claro: SharePoint on-premise sin actualizar es superficie de ataque activa ahora mismo. El patrón es idéntico al que vimos con Exchange OWA (CVE-2026-42897) el 18 de mayo.

¿Qué se sabe del zero-day CVE-2026-32201 y del nuevo RCE CVE-2026-45659?

Los hechos documentados por Microsoft, CISA, The Hacker News, SecurityWeek, Security Affairs, Computer Weekly y CybersecurityNews son los siguientes:

CVE-2026-32201 — Zero-day activo, parche disponible desde el 14 de abril:

  • Tipo de vulnerabilidad: spoofing con cross-site scripting (XSS) por validación incorrecta de inputs (CWE-20) en Microsoft Office SharePoint.
  • CVSS 6.5 (Important): sin autenticación requerida, complejidad de ataque baja, sin interacción del usuario necesaria, explotable de forma remota. El CVSS 6.5 subestima el riesgo real: Mat Lee (Automox) advirtió que las instancias expuestas a internet sin el parche son vulnerables a atacantes externos directos.
  • Versiones afectadas: SharePoint Server 2016, SharePoint Server 2019, SharePoint Server Subscription Edition.
  • Parche disponible: desde el 14 de abril de 2026 (Patch Tuesday de abril). SharePoint SE CU3, KB5002659 para SharePoint 2016, KB5002658 para SharePoint 2019.
  • CISA KEV: añadido en abril de 2026. Plazo para agencias federales estadounidenses: 28 de abril de 2026 (ya vencido).
  • Explotación activa confirmada: Microsoft confirmó explotación en entornos reales. La telemetría de Microsoft Threat Intelligence documenta que la explotación comenzó al menos siete días antes del aviso de abril.
  • Escala de exposición: más de 1.300 servidores SharePoint on-premise con exposición directa a internet identificados globalmente. Las organizaciones financieras son el objetivo de mayor riesgo.
  • Impacto técnico: scripts maliciosos ejecutados en el navegador del usuario que visita una página SharePoint comprometida — robo de tokens de sesión, cookies de autenticación, redirecciones maliciosas y acceso a datos internos.

CVE-2026-45659 — Nuevo RCE publicado ayer 27 de mayo:

  • Tipo de vulnerabilidad: ejecución remota de código por deserialización de datos no confiables en Microsoft Office SharePoint.
  • CVSS 8.8 (Important): requiere autenticación, pero cualquier usuario con cuenta en la organización puede explotarlo. Sin privilegios de administrador necesarios.
  • Versiones afectadas: SharePoint Server 2016, 2019 y Subscription Edition.
  • Parche disponible: publicado en el Patch Tuesday de mayo 2026, ayer 27 de mayo.
  • Evaluación de Microsoft: explotación “menos probable”. Security Affairs advierte que dado el historial de SharePoint — con una docena de CVEs graves en los últimos tres años — esa evaluación merece escepticismo y el parche debe aplicarse como emergencia.

Por qué SharePoint on-premise es objetivo permanente de primer orden

SharePoint no es solo una intranet. Es el repositorio central de documentos corporativos, contratos, informes financieros, comunicaciones internas y flujos de trabajo de miles de organizaciones españolas. Quien compromete SharePoint no accede a un servidor: accede al conocimiento operativo de toda la organización. Cuatro factores explican por qué es objetivo recurrente:

  1. Máxima densidad de información sensible en un solo sistema. SharePoint es el repositorio donde viven los documentos que una organización más quiere proteger: contratos, actas de consejo, planes estratégicos, credenciales de acceso compartidas, plantillas de compliance y datos de clientes. Un compromiso de SharePoint equivale a una exfiltración de los activos de información más valiosos de la empresa.
  2. Exposición directa a internet en entornos on-premise. Muchas organizaciones mantienen SharePoint accesible desde internet para facilitar el trabajo remoto — sin WAF, sin reverse proxy con inspección, directamente expuesto. Los más de 1.300 servidores identificados globalmente son el extremo visible del problema.
  3. Integración profunda con Active Directory y el ecosistema Microsoft. SharePoint se autentica contra Active Directory, se integra con Exchange, Teams y OneDrive. Un compromiso de SharePoint es un punto de entrada al resto del ecosistema corporativo Microsoft.
  4. Historial de explotación masiva documentada. CVE-2026-32201 es el tercer fallo crítico pre-autenticación en SharePoint divulgado en doce meses. El catálogo KEV de CISA lista ya una docena de CVEs de SharePoint explotados activamente en los últimos tres años. El patrón es sistemático.

Cómo funciona el ataque: del XSS al robo de sesión y al RCE

Vector 1 — CVE-2026-32201 (XSS / Spoofing, sin autenticación):

  1. El atacante identifica servidores SharePoint on-premise accesibles desde internet (Shodan, Censys — más de 1.300 identificados globalmente).
  2. Envía una solicitud especialmente construida a SharePoint Server que explota CVE-2026-32201: la validación incorrecta de inputs en los campos de páginas de SharePoint permite inyectar scripts maliciosos que serán ejecutados en el navegador de cualquier usuario que acceda a esa página.
  3. El script malicioso se ejecuta en el contexto de la sesión autenticada del usuario en SharePoint: roba cookies de sesión, tokens de autenticación NTLM, accede a documentos y carpetas del usuario, o redirige al usuario a páginas de phishing internas.
  4. Con los tokens robados, el atacante puede acceder al SharePoint con la identidad del usuario comprometido, incluyendo todos sus permisos sobre bibliotecas, listas y sitios de SharePoint.

Vector 2 — CVE-2026-45659 (RCE por deserialización, usuario autenticado):

  1. El atacante con una cuenta de usuario válida en la organización (incluyendo cuentas con privilegios mínimos, como un empleado de base o una cuenta de servicio) envía datos especialmente construidos al endpoint de SharePoint afectado.
  2. SharePoint deserializa los datos sin validación suficiente, lo que permite al atacante ejecutar código arbitrario en el servidor de SharePoint con los permisos del proceso de SharePoint.
  3. Con ejecución de código en el servidor, el atacante puede moverse lateralmente a otros sistemas de la red interna, exfiltrar el contenido completo del SharePoint o establecer persistencia en el servidor.

Escenario combinado de máximo riesgo: un atacante externo explota CVE-2026-32201 para robar credenciales de un empleado, obtiene acceso autenticado al entorno SharePoint y usa esas credenciales para explotar CVE-2026-45659 y obtener ejecución de código en el servidor. Dos CVEs, un acceso completo al servidor.

Lecciones clave y checklist de mitigación: qué debe hacer tu equipo ahora mismo

Paso 1 — Verificar versiones y exposición (inmediato):

  • Confirmar qué versiones de SharePoint Server on-premise tiene la organización (2016, 2019 o SE). Todas están afectadas por ambos CVEs.
  • Verificar si SharePoint está accesible directamente desde internet (puerto 443). Los servidores expuestos son el objetivo prioritario de los atacantes.
  • Comprobar si el parche de abril (CVE-2026-32201) ha sido aplicado: SharePoint SE CU3, KB5002659 para SharePoint 2016, KB5002658 para SharePoint 2019.

Paso 2 — Aplicar ambos parches como emergencia:

  • CVE-2026-32201 (parche de abril): si no se ha aplicado aún, es urgente: lleva 44 días disponible y la explotación activa está confirmada. SharePoint SE CU3 / KB5002659 (2016) / KB5002658 (2019).
  • CVE-2026-45659 (parche de mayo, publicado ayer): aplicar el Patch Tuesday de mayo 2026 en cuanto la ventana de mantenimiento lo permita. Dada la historia de SharePoint y el CVSS 8.8, no esperar al ciclo mensual habitual.

Paso 3 — Reducir la superficie de exposición mientras se parchea:

  • Si SharePoint está expuesto directamente a internet sin WAF, considerar restringir el acceso mediante VPN o zero-trust network access hasta que ambos parches estén aplicados.
  • Si hay un WAF o reverse proxy delante de SharePoint, verificar que tiene reglas activas para filtrar los patrones de solicitud asociados a CVE-2026-32201 (XSS via input no sanitizado en campos de página).

Paso 4 — Monitorizar en busca de explotación previa:

  • Revisar los logs de IIS de SharePoint de los últimos 44 días (desde la divulgación de CVE-2026-32201) en busca de solicitudes con payloads JavaScript en parámetros de página, headers inusuales o patrones de deserialización.
  • Revisar los audit logs de SharePoint en busca de accesos no autorizados a bibliotecas de documentos críticos o cambios de permisos no autorizados.
  • Buscar cuentas de usuario con actividad anormal: accesos fuera de horario, volumen inusual de descargas de documentos, cambios en configuración de sitios.

Paso 5 — Plan de parcheo continuo para SharePoint:

  • SharePoint es el tercer CVE crítico pre-autenticación en doce meses. Establecer un ciclo de parcheo específico para SharePoint que no dependa del ciclo general de mantenimiento de la organización: los CVEs de SharePoint tienen historial de ser weaponizados rápidamente.

La ciberseguridad como prioridad estratégica

El patrón de esta semana es el mismo que documentó el DBIR 2026 ayer: las organizaciones tardan 43 días de media en parchear, y CVE-2026-32201 lleva exactamente 44 días con parche disponible. El patrón es el mismo que vivimos con Exchange OWA hace 10 días: plataforma Microsoft on-premise, parche disponible pero no aplicado en miles de instancias, explotación activa confirmada.

Para las organizaciones españolas con SharePoint on-premise — empresas medianas, despachos profesionales, administraciones públicas y entidades financieras que no han migrado a SharePoint Online —, la pregunta de hoy es directa: ¿está el parche de abril aplicado? Y si la respuesta es no, esos 44 días son la ventana en la que los atacantes han estado activos.

Apolo Cybersecurity: protección de entornos SharePoint on-premise y respuesta ante vulnerabilidades Microsoft activas

En Apolo Cybersecurity ayudamos a organizaciones con SharePoint on-premise a verificar el estado de parcheo de CVE-2026-32201 y CVE-2026-45659, implementar mitigaciones de exposición mientras se aplican los parches, revisar los logs de SharePoint en busca de explotación previa, auditar permisos y accesos anómalos en bibliotecas de documentos críticos, y establecer planes de parcheo acelerado para plataformas Microsoft on-premise de alto riesgo.

Si tu organización mantiene SharePoint Server on-premise y no tienes confirmación de que el parche de abril está aplicado, este jueves por la mañana es el momento de verificarlo. Los 44 días de ventana activa ya han pasado.

__wf_reserved_inherit
Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity