Microsoft ha implementado actualizaciones para corregir una vulnerabilidad de ejecución remota de código que afecta a SharePoint y que podría ser explotada por delincuentes en ataques sin que sea necesario cumplir ninguna condición especializada.
La vulnerabilidad, rastreada como CVE-2026-45659tiene una puntuación CVSS de 8,8. Se le ha asignado una gravedad importante.
«La deserialización de datos que no son de confianza en Microsoft Office SharePoint permite a un atacante autorizado ejecutar código a través de una red», dijo Microsoft en un aviso publicado la semana pasada.
Microsoft señaló que la vulnerabilidad podría ser activada por cualquier atacante autenticado y que no requiere administrador ni otros privilegios elevados.
«En un ataque basado en red, un atacante autenticado, que tiene un mínimo de permisos de miembro del sitio (PR:L), podría ejecutar código de forma remota en SharePoint Server», añadió el fabricante de Windows.
Microsoft le dio crédito a un investigador llamado MEOW por descubrir e informar la falla. Se han publicado actualizaciones para las siguientes versiones:
El mes pasado, Microsoft publicó correcciones para una vulnerabilidad de suplantación de identidad que afectaba a Microsoft SharePoint Server (CVE-2026-32201, puntuación CVSS: 6,5) y que, según dijo, había sido explotada en estado salvaje.
Aunque el gigante tecnológico señala que es menos probable que CVE-2026-45659 sea explotado, es esencial que los usuarios apliquen las correcciones necesarias para una protección óptima, particularmente si se considera el hecho de que los atacantes han utilizado repetidamente varias fallas en la plataforma colaborativa a lo largo de los años.