Microsoft lanzó el martes parches para 138 vulnerabilidades de seguridad que abarca su cartera de productos, aunque ninguno de ellos ha sido catalogado como de conocimiento público o bajo ataque activo.
De los 138 defectos, 30 están clasificados como críticos, 104 como importantes, tres como moderados y uno como de gravedad baja. Hasta 61 vulnerabilidades se clasifican como errores de escalada de privilegios, seguidas de 32 de ejecución remota de código, 15 de divulgación de información, 14 de suplantación de identidad, ocho de denegación de servicio, seis de omisión de funciones de seguridad y dos fallas de manipulación.
La lista de actualizaciones también incluye una vulnerabilidad que fue reparada por AMD (CVE-2025-54518puntuación CVSS: 7,3) este mes. Se relaciona con un caso de aislamiento inadecuado de recursos compartidos dentro del caché de operación de la CPU en productos basados en Zen 2 que podría permitir a un atacante corromper instrucciones ejecutadas en un nivel de privilegio diferente, lo que podría resultar en una escalada de privilegios.
Los parches también son además de 127 fallos de seguridad que Google ha abordado en Chromium, que forma la base del navegador Edge de Microsoft.
Una de las vulnerabilidades más graves parcheadas por Redmond es CVE-2026-41096 (Puntuación CVSS: 9,8), una falla de desbordamiento de búfer basada en montón que afecta al DNS de Windows y que podría permitir que un atacante no autorizado ejecute código a través de una red.
«Un atacante podría explotar esta vulnerabilidad enviando una respuesta DNS especialmente diseñada a un sistema Windows vulnerable, provocando que el cliente DNS procese incorrectamente la respuesta y corrompa la memoria», dijo Microsoft. «En ciertas configuraciones, esto podría permitir al atacante ejecutar código de forma remota en el sistema afectado sin autenticación».
Microsoft también corrigió varias fallas clasificadas como críticas e importantes:
- CVE-2026-42826 (Puntuación CVSS: 10,0): exposición de información confidencial a un actor no autorizado en Azure DevOps que permite a un atacante no autorizado revelar información a través de una red. (No requiere ninguna acción del cliente)
- CVE-2026-33109 (Puntuación CVSS: 9,9): un control de acceso inadecuado en Azure Managed Instance para Apache Cassandra que permite a un atacante autorizado ejecutar código a través de una red. (No requiere ninguna acción del cliente)
- CVE-2026-42898 (Puntuación CVSS: 9,9): una vulnerabilidad de inyección de código en Microsoft Dynamics 365 (local) que permite a un atacante autorizado ejecutar código a través de una red.
- CVE-2026-42823 (Puntuación CVSS: 9,9): un control de acceso inadecuado en Azure Logic Apps que permite a un atacante autorizado elevar privilegios en una red.
- CVE-2026-41089 (Puntuación CVSS: 9,8): un desbordamiento de búfer basado en pila en Windows Netlogon que permite a un atacante no autorizado ejecutar código a través de una red sin necesidad de iniciar sesión o tener acceso previo enviando una solicitud de red especialmente diseñada a un servidor de Windows que actúa como controlador de dominio.
- CVE-2026-33823 (Puntuación CVSS: 9,6): una autorización inadecuada en Microsoft Teams que permite a un atacante autorizado revelar información a través de una red. (No requiere ninguna acción del cliente)
- CVE-2026-35428 (Puntuación CVSS: 9,6): una vulnerabilidad de inyección de comandos en Azure Cloud Shell que permite a un atacante no autorizado realizar suplantación de identidad en una red. (No requiere ninguna acción del cliente)
- CVE-2026-40379 (Puntuación CVSS: 9,3): exposición de información confidencial a un actor no autorizado en Azure Entra ID que permite a un atacante no autorizado realizar suplantación de identidad en una red. (No requiere ninguna acción del cliente)
- CVE-2026-40402 (Puntuación CVSS: 9,3): un usuario liberado en Windows Hyper-V que permite a un atacante no autorizado obtener privilegios del SISTEMA y acceder al entorno host de Hyper-V.
- CVE-2026-41103 (Puntuación CVSS: 9,1): una implementación incorrecta del algoritmo de autenticación en el complemento SSO de Microsoft para Jira y Confluence que permite a un atacante no autorizado obtener acceso no autorizado a Jira o Confluence como un usuario válido y realizar acciones con los mismos permisos que la cuenta comprometida.
- CVE-2026-33117 (Puntuación CVSS: 9,1): una autenticación incorrecta en Azure SDK que permite a un atacante no autorizado eludir una característica de seguridad en una red.
- CVE-2026-42833 (Puntuación CVSS: 9,1): una ejecución con privilegios innecesarios en Microsoft Dynamics 365 (local) que permite a un atacante autorizado ejecutar código a través de una red y obtener la capacidad de interactuar con las aplicaciones y el contenido de otros inquilinos.
- CVE-2026-33844 (Puntuación CVSS: 9,0): una validación de entrada incorrecta en Azure Managed Instance para Apache Cassandra que permite a un atacante autorizado ejecutar código a través de una red. (No requiere ninguna acción del cliente)
- CVE-2026-40361 (Puntuación CVSS: 8,4): una vulnerabilidad de uso después de la liberación en Microsoft Office Word que permite a un atacante no autorizado ejecutar código localmente sin requerir la interacción del usuario.
- CVE-2026-40364 (Puntuación CVSS: 8,4): una vulnerabilidad de confusión de tipos en Microsoft Office Word que permite a un atacante no autorizado ejecutar código localmente sin requerir la interacción del usuario.
«Esta vulnerabilidad crítica de elevación de privilegios permite a un atacante no autorizado hacerse pasar por un usuario existente presentando credenciales falsificadas, evitando así Entra ID», dijo Adam Barnett, ingeniero de software líder en Rapid7, sobre CVE-2026-41103.
Jack Bicer, director de investigación de vulnerabilidades de Action1, descrito CVE-2026-42898 como una falla crítica que permite a un atacante autenticado con privilegios bajos ejecutar código arbitrario a través de la red manipulando los datos de la sesión del proceso dentro de Dynamics CRM.
«Sin necesidad de interacción del usuario y con el potencial de impactar los sistemas más allá del alcance de seguridad original del componente vulnerable, esta vulnerabilidad plantea un grave riesgo empresarial: un atacante con sólo acceso básico podría convertir un servidor de aplicaciones empresariales en una plataforma de ejecución remota», dijo Bicer.
«El compromiso de la infraestructura de Dynamics 365 puede exponer registros de clientes, flujos de trabajo operativos, información financiera y sistemas comerciales integrados. Dado que los entornos CRM a menudo se conectan con servicios de identidad, bases de datos y aplicaciones empresariales, una explotación exitosa podría llevar a un compromiso organizacional más amplio y a una interrupción operativa».
También se recomienda a las organizaciones que actualicen los certificados de arranque seguro de Windows a sus homólogos de 2023 antes del próximo mes, cuando los certificados emitidos en 2011 caduquen. Microsoft anunció el cambio por primera vez en noviembre de 2025.
«La actualización más crítica que no es CVE implica la implementación obligatoria de certificados de arranque seguro actualizados», dijo Rain Baker, especialista senior en respuesta a incidentes de Nightwing. «Los dispositivos que no reciben estas actualizaciones antes de la fecha límite del 26 de junio enfrentan 'fallos de seguridad catastróficos a nivel de arranque' o estados de seguridad degradados. Asegúrese de que toda su flota rote con éxito a las nuevas anclas de confianza antes de la fecha límite del 26 de junio de 2026».
Más de 500 CVE en 2026 hasta ahora
Según Satnam Narang, ingeniero senior de investigación de Tenable, Microsoft ya ha parcheado más de 500 CVE en cinco meses del año. Este gran volumen de correcciones refleja una tendencia más amplia de la industria en la que el descubrimiento de vulnerabilidades ha alcanzado nuevos máximos, y una gran parte de ellas se han identificado mediante enfoques impulsados por inteligencia artificial (IA).
Microsoft, en un informe publicado el martes, dijo que se espera que el descubrimiento de vulnerabilidades asistido por IA aumente la escala de los lanzamientos de Patch Tuesday en los próximos meses, y agregó que 16 de las fallas reparadas este mes en la red de Windows y la pila de autenticación se identificaron a través de su nuevo sistema de descubrimiento de vulnerabilidades multimodelo impulsado por IA, con nombre en código. MDASH (abreviatura de metrodel mes pasadodel agentico senvase harnés).
«En el lanzamiento de este mes, Microsoft descubrió una mayor proporción de los problemas abordados, en comparación con meses anteriores», dijo Tom Gallagher, vicepresidente de ingeniería del Centro de respuesta de seguridad de Microsoft, dicho. «Muchos de estos surgieron a través de inversiones e investigaciones en IA a través de nuestros equipos de ingeniería e investigación, incluido el uso del nuevo arnés de escaneo multimodelo impulsado por IA de Microsoft».
Microsoft también enfatizó que la escala y la velocidad del descubrimiento de vulnerabilidades provocadas por la IA pueden aumentar las demandas operativas y requieren un enfoque consistente y disciplinado para la gestión de riesgos a fin de garantizar que los problemas se mitiguen rápidamente y se solucionen de manera oportuna.
«Manténgase actualizado sobre los sistemas operativos, productos y parches compatibles, y revise la velocidad y consistencia de su cadencia de parches», dijo Gallagher. «Triaje por exposición e impacto, no por recuento bruto».
Otras recomendaciones descritas por Microsoft incluyen reducir la exposición innecesaria a Internet, mejorar la higiene de la configuración, eliminar la autenticación heredada, habilitar la autenticación multifactor (MFA), aplicar controles de acceso estrictos, segmentar entornos para contener incidentes e invertir en detección y respuesta.
«El trabajo de encontrar y solucionar vulnerabilidades continúa volviéndose más rápido, más amplio y más riguroso en toda la industria», afirmó el gigante tecnológico. «Lo que animamos a su vez es una mirada reflexiva para ver si las prácticas que funcionaron bien para el panorama de parches de hace unos años todavía se adaptan bien al rumbo que lleva el panorama».
«Los fundamentos no han cambiado. El ritmo al que deben aplicarse está cambiando, y las organizaciones que se ajusten a él serán las mejor posicionadas para lo que viene después».
