Parches Microsoft 2026

Microsoft Patch Tuesday febrero 2026

Introducción

Microsoft ha publicado el Patch Tuesday correspondiente al mes de febrero con 59 vulnerabilidades de interés. A continuación, se exponen las más críticas:

Análisis

CVE-2026-24300 -  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2026-24300 es una vulnerabilidad de elevación de privilegios en Azure Front Door, el servicio de entrega de contenido y pasarela de aplicaciones de Microsoft Azure. Esta falla permitía que un atacante con acceso de red sin privilegios, usando condiciones específicas, escalara sus privilegios y obtuviera mayores permisos en el servicio afectado. La combinación de acceso remoto y elevación de privilegios hacían de esta una vulnerabilidad crítica.

CVE-2026-21531 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C - 9,8

CVE‑2026‑21531 es una vulnerabilidad crítica de ejecución remota de código (RCE) en componentes del Azure SDK, concretamente, con Azure AI Language Authoring. La falla se debe a un problema de deserialización de datos no confiables clasificado como CWE‑502. El sistema podría convertir datos maliciosos recibidos desde la red en objetos ejecutables sin validarlos correctamente. De esta manera, un atacante podría ejecutar código malicioso directamente en el sistema afectado, comprometiendo la confidencialidad, integridad y disponibilidad de la plataforma.

CVE-2026-20841 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C - 8,8

CVE‑2026‑20841 es una vulnerabilidad de inyección de comandos que afecta a la aplicación Windows Notepad. Esta falla permite que un atacante sin privilegios ejecute código arbitrario con los mismos derechos que el usuario que abre un archivo vulnerable. El problema ocurre cuando Notepad procesa enlaces u otros elementos especiales dentro de archivos de texto en formato Markdown (.md). Un atacante podría crear un archivo .md con enlaces o comandos maliciosos incrustados que, si se abre en Notepad y el usuario interactúa con esos elementos, la aplicación podría ejecutar comandos no autorizados o código malicioso en el sistema. El ataque no requiere credenciales especiales, solo acceso para que la víctima abra el archivo en Notepad.

CVE-2026-24302 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N/E:U/RL:O/RC:C- 8,6

CVE‑2026‑24302 es una vulnerabilidad de elevación de privilegios en Azure Arc, una plataforma de Microsoft usada para gestionar servidores y recursos híbridos o en la nube desde un único plano de control. La vulnerabilidad está clasificada como un problema de control de acceso incorrecto (CWE‑284), lo que significa que ciertas partes del sistema no restringen correctamente lo que un actor no autorizado puede hacer. Un atacante que controle una conexión de red hacia una instancia afectada de Azure Arc podría enviar peticiones especialmente diseñadas que engañen al sistema de control de acceso y le permitan escalar sus privilegios dentro de ese entorno administrado.

Referencias

• https://msrc.microsoft.com/update-guide/releaseNote/2026-Feb
• https://blog.talosintelligence.com/microsoft-patch-tuesday-february-2026/
• https://www.tenable.com/blog/microsofts-february-2026-patch-tuesday-addresses-54-cves-cve-2026-21510-cve-2026-21513
• https://www.zerodayinitiative.com/blog/2026/2/10/the-february-2026-security-update-review