3 min de lectura

Microsoft corrige 622 CVE en un Patch Tuesday récord

Microsoft parcheó 622 CVE de sus productos en julio, además de 428 fallos de Chromium en Edge. Dos bugs ya están siendo explotados y Adobe solucionó 64 CVE más.

Imagen: The Register

Microsoft ha superado con creces el récord del Patch Tuesday del mes pasado, publicando correcciones para 622 CVE en sus propios productos —más del triple de los 206 de junio. Ese total no incluye 428 CVE de Chromium que no pertenecen a Microsoft y que afectan a Edge. De las 622, 58 se califican como críticas, dos están siendo explotadas activamente y una ya se ha divulgado públicamente.

Los dos fallos explotados son ambos de elevación de privilegios. CVE-2026-56155 afecta a Active Directory Federation Services; Microsoft dijo que “insuficiente granularidad en el control de acceso en ADFS” podría permitir a un atacante obtener privilegios de administrador. Requiere acceso local existente y tiene un CVSS de 7.8. CVE-2026-56164 afecta a Microsoft SharePoint; la falta de autenticación para una función crítica podría permitir a un atacante no autorizado en la red elevar sus permisos en SharePoint; está calificado con un CVSS de 5.3.

El problema divulgado públicamente, CVE-2026-50661, afecta a BitLocker. Según el boletín, alguien con acceso local a una máquina protegida por BitLocker podría eludir físicamente sus medidas de seguridad.

Entre los problemas críticos destaca CVE-2026-48561: una vulnerabilidad de ejecución remota de código con CVSS 9.6 en Copilot causada por una neutralización inadecuada de entradas. Microsoft explicó que un atacante no autorizado con acceso de invitado de bajo privilegio en Hyper-V podría ejecutar código, incluso a través de un sitio web malicioso que haga que las funciones integradas de Copilot en sistemas Windows procesen una instrucción. Otro error con CVSS 9.6, CVE-2026-55008, afecta a Microsoft Exchange. La falta de neutralización de entradas podría permitir suplantación y cross-site scripting (XSS) mediante un correo electrónico especialmente elaborado, permitiendo la ejecución arbitraria de JavaScript.

Microsoft también parcheó 16 vulnerabilidades de ejecución remota de código en Microsoft Office y aplicaciones relacionadas. Los errores provienen de problemas como desbordamientos de búfer en el montón y fallos de tipo "use-after-free", con puntuaciones alrededor de CVSS 7.8.

Recomendado

Los enlaces t.me de Telegram vuelven tras un contratiempo por sanciones

Correcciones de Adobe, Broadcom y SAP

Adobe también lanzó una importante actualización de Patch Tuesday, cubriendo 64 CVE únicos repartidos en siete boletines para Commerce, Experience Manager, Creative Cloud Desktop, Illustrator, Content Credentials SDK, ColdFusion y Animate. Cada boletín incluyó al menos algunos problemas críticos.

El más severo parece ser CVE-2026-48318, una vulnerabilidad de path traversal con CVSS 9.9 en ColdFusion que podría permitir la ejecución arbitraria de código. Adobe también solucionó CVE-2026-48356, una falla de escalada de privilegios con CVSS 9.6 en Commerce relacionada con restricciones inadecuadas en la carga de archivos peligrosos. En Adobe Experience Manager, CVE-2026-48259 y CVE-2026-48359 tienen ambas CVSS 9.6 y podrían conducir a ejecución arbitraria de código mediante SSRF (forgery de solicitudes del lado del servidor) y por restricción inadecuada de referencias a entidades externas XML, respectivamente.

En otros frentes, Broadcom parcheó siete CVE en Avi Load Balancer, con puntuaciones que van de 7.1 a 9.8, incluyendo bypass de autenticación, ejecución remota de código, escalada de privilegios y traversal de directorios. SAP publicó 16 actualizaciones de seguridad y un aviso en GitHub; nueve de esas actualizaciones tienen un CVSS de 8.1 o superior. Las entradas más destacadas incluyen:

  • CVE-2026-44747 (CVSS 9.9), un fallo de corrupción de memoria en SAP NetWeaver Application Server ABAP que podría permitir a un atacante autenticado acceder a datos del sistema
  • CVE-2026-27690 (CVSS 9.1), que podría permitir a un atacante no autenticado introducir de contrabando una solicitud HTTP a través de SAP Approuter y causar la indisponibilidad del sistema
  • CVE-2026-44761 (CVSS 9.1), que involucra un cliente OAuth2 de ejemplo no documentado en SAP Commerce Cloud que podría usarse para acceso no autorizado

Para Microsoft, la cifra inmediata más notable sigue siendo 622 —segundo mes consecutivo de volumen de parches que bate récords para administradores de Windows y equipos de seguridad.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía The Register

// Sigue leyendo