Parches Microsoft 2026

Microsoft Patch Tuesday febrero 2026

Introducción

Microsoft ha publicado el Patch Tuesday correspondiente al mes de febrero con 59 vulnerabilidades de interés. A continuación, se exponen las más críticas:

Análisis

CVE-2026-24300 -  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2026-24300 es una vulnerabilidad de elevación de privilegios en Azure Front Door, el servicio de entrega de contenido y pasarela de aplicaciones de Microsoft Azure. Esta falla permitía que un atacante con acceso de red sin privilegios, usando condiciones específicas, escalara sus privilegios y obtuviera mayores permisos en el servicio afectado. La combinación de acceso remoto y elevación de privilegios hacían de esta una vulnerabilidad crítica.

CVE-2026-21531 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C - 9,8

CVE‑2026‑21531 es una vulnerabilidad crítica de ejecución remota de código (RCE) en componentes del Azure SDK, concretamente, con Azure AI Language Authoring. La falla se debe a un problema de deserialización de datos no confiables clasificado como CWE‑502. El sistema podría convertir datos maliciosos recibidos desde la red en objetos ejecutables sin validarlos correctamente. De esta manera, un atacante podría ejecutar código malicioso directamente en el sistema afectado, comprometiendo la confidencialidad, integridad y disponibilidad de la plataforma.

CVE-2026-20841 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C - 8,8

CVE‑2026‑20841 es una vulnerabilidad de inyección de comandos que afecta a la aplicación Windows Notepad. Esta falla permite que un atacante sin privilegios ejecute código arbitrario con los mismos derechos que el usuario que abre un archivo vulnerable. El problema ocurre cuando Notepad procesa enlaces u otros elementos especiales dentro de archivos de texto en formato Markdown (.md). Un atacante podría crear un archivo .md con enlaces o comandos maliciosos incrustados que, si se abre en Notepad y el usuario interactúa con esos elementos, la aplicación podría ejecutar comandos no autorizados o código malicioso en el sistema. El ataque no requiere credenciales especiales, solo acceso para que la víctima abra el archivo en Notepad.

CVE-2026-24302 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N/E:U/RL:O/RC:C- 8,6

CVE‑2026‑24302 es una vulnerabilidad de elevación de privilegios en Azure Arc, una plataforma de Microsoft usada para gestionar servidores y recursos híbridos o en la nube desde un único plano de control. La vulnerabilidad está clasificada como un problema de control de acceso incorrecto (CWE‑284), lo que significa que ciertas partes del sistema no restringen correctamente lo que un actor no autorizado puede hacer. Un atacante que controle una conexión de red hacia una instancia afectada de Azure Arc podría enviar peticiones especialmente diseñadas que engañen al sistema de control de acceso y le permitan escalar sus privilegios dentro de ese entorno administrado.

Referencias

• https://msrc.microsoft.com/update-guide/releaseNote/2026-Feb
• https://blog.talosintelligence.com/microsoft-patch-tuesday-february-2026/
• https://www.tenable.com/blog/microsofts-february-2026-patch-tuesday-addresses-54-cves-cve-2026-21510-cve-2026-21513
• https://www.zerodayinitiative.com/blog/2026/2/10/the-february-2026-security-update-review

Microsoft Patch Tuesday marzo 2026

Introducción

Microsoft ha publicado el Patch Tuesday correspondiente al mes de marzo con 79 vulnerabilidades de interés. A continuación, se exponen las más críticas:

Análisis

CVE-2026-21536 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C - 9,8

CVE‑2026‑21536 es un fallo de ejecución remota de código (RCE) que afecta al Microsoft Devices Pricing Program, un componente utilizado para gestionar precios y descuentos de dispositivos dentro de los ecosistemas de Microsoft. Debido a un manejo inseguro de cargas útiles de red y una debilidad en la validación de tipos de archivos clasificada bajo CWE‑434, un atacante no autenticado puede enviar datos especialmente diseñados a través de la red y ejecutar código arbitrario en el sistema sin necesidad de permisos previos ni interacción del usuario, lo que podría comprometer por completo la confidencialidad, integridad y disponibilidad de los sistemas afectados. Ante la severidad del fallo, se recomienda aplicar los parches de seguridad oficiales de Microsoft lo antes posible y reforzar las defensas perimetrales para limitar la exposición de servicios vulnerables.

CVE-2026-26106 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C - 8,8

CVE‑2026‑26106 afecta a varias versiones de Microsoft SharePoint Server y permite la ejecución remota de código debido a una validación insuficiente de las entradas recibidas por el servidor. Esta falla de seguridad puede ser explotada por un usuario autenticado, incluso con permisos limitados, para ejecutar código arbitrario en el sistema, comprometiendo la confidencialidad, integridad y disponibilidad de la plataforma. Microsoft ha publicado un parche de seguridad que corrige la vulnerabilidad, y se recomienda su aplicación inmediata, así como la implementación de buenas prácticas de mitigación, como restringir permisos, limitar el acceso administrativo y monitorizar la actividad del servidor para detectar comportamientos sospechosos.

CVE-2026-26118 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C- 8,8

CVE‑2026‑26118 es un fallo de servidor de solicitudes (SSRF) que afecta a Azure MCP Server Tools y permite que un atacante autorizado con bajos privilegios los eleve a través de la red, aprovechando solicitudes maliciosamente manipuladas que el sistema procesa de forma insegura. Esta falla puede comprometer la confidencialidad, integridad y disponibilidad de los sistemas afectados sin necesidad de interacción adicional del usuario y se explota a través de una red con complejidad baja. Microsoft ha publicado un parche de seguridad oficial para corregir este problema en su actualización de marzo de 2026, por lo que se recomienda aplicar la corrección lo antes posible y limitar el acceso de red a los servicios vulnerables para mitigar riesgos en entornos productivos.

CVE-2026-20967 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C- 8,8

CVE‑2026‑20967 es un fallo de elevación de privilegios de alta gravedad que afecta a Microsoft System Center Operations Manager (SCOM), provocado por una validación incorrecta de las entradas que el producto procesa. Esta debilidad permite que un atacante autenticado con credenciales de bajo nivel aproveche esta falta de comprobación para elevar sus privilegios y obtener un mayor control del sistema a través de la red, sin necesidad de interacción adicional del usuario. Dado que la explotación puede comprometer la confidencialidad, integridad y disponibilidad de los sistemas afectados, Microsoft ha publicado un parche de seguridad oficial que debe aplicarse con prioridad en instalaciones de SCOM 2019, 2022 y 2025 para mitigar el riesgo de compromiso de los entornos empresariales.

Referencias

• https://msrc.microsoft.com/update-guide/releaseNote/2026-Mar
• https://csirt.telconet.net/comunicacion/boletines-servicios/actualizacion-microsoft-patch-tuesday-marzo-2026-corrige-78-vulnerabilidades-incluyendo-un-zero-day/
• https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2026-patch-tuesday-fixes-2-zero-days-79-flaws/
• https://www.zerodayinitiative.com/blog/2026/3/10/the-march-2026-security-update-review