CISA marca SharePoint CVE-2026-45659 como explorado en ataques y los federales tienen hasta el 4 de julio para corregir

Vulnerabilidad de ejecución remota corregida por Microsoft el 26 de mayo estuvo meses sin parche en servidores expuestos. CISA incluyó en el catálogo KEV el 1 de julio y The Hacker News detalló el ataque el 2 de julio.
Lo que CISA agregó al catálogo KEV
La agencia estadounidense Cybersecurity and Infrastructure Security Agency (CISA) incluyó el 1 de julio la vulnerabilidad CVE-2026-45659, una ejecución remota de código en Microsoft SharePoint Server, en el catálogo Known Exploited Vulnerabilities (KEV). La adición fija el 4 de julio como plazo para que las agencias federales civiles del Poder Ejecutivo apliquen el parche, uno de los plazos más cortos que CISA ha impuesto este año, señal del peso que la agencia atribuye al ataque en curso. La cobertura detallada fue publicada en The Hacker News el 2 de julio.
Con una puntuación CVSS de 8.8, la vulnerabilidad se origina de la deserialización de datos no confiables (CWE-502) y afecta las tres ediciones de SharePoint on-premises compatibles: Subscription Edition, Server 2019 y Enterprise Server 2016. Microsoft distribuyó el parche el 26 de mayo, pero el intervalo de 36 días entre la corrección y la adición al KEV muestra que quienes tenían la vulnerabilidad expuesta tuvieron tiempo suficiente para convertirse en objetivo.
Por qué Site Member es el punto crítico
El detalle técnico que más preocupa a los responsables de SharePoint on-premises es el requisito mínimo de privilegio. El atacante solo necesita credenciales válidas a nivel de Site Member, el más bajo de la jerarquía colaborativa de la plataforma. En entornos corporativos típicos, casi todos los empleados tienen este acceso por defecto, lo que transforma cualquier credencial filtrada en dumps de contraseñas o adquirida por phishing en una rampa directa para la ejecución de código en el servidor.
CISA no divulgó detalles de los ataques observados, lo cual es estándar de la agencia cuando existe el riesgo de duplicar la técnica. Microsoft, consultada por The Hacker News, no comentó sobre el vector específico. Lo que los analistas de Threat Intelligence de proveedores como Rapid7 y Tenable observan es la firma clásica de grupos que realizan escaneos post-parche: esperan el anuncio, reproducen la explotación y cazan objetivos que no aplicaron el boletín mensual de mayo.
Dos geografías y el mismo problema estructural
La alerta es de CISA, pero SharePoint on-premises opera en jurisdicciones donde la agencia estadounidense no tiene alcance. En Suiza, el Swiss Security Insights publicó en paralelo una guía de corrección para los bancos privados y el sector público local, recordando que la versión Subscription Edition sigue siendo la base documental de un buen número de cantones. En Alemania, el BSI observa el mismo patrón en gobiernos estatales y en el sector de defensa, donde SharePoint 2019 sigue instalado por cuestiones de soberanía de datos. En ambos casos, el Site Member como piso de privilegio significa que auditores de impuestos, fiscales y proveedores externos pueden convertirse en vectores de escalada.
El punto de convergencia entre los mercados: en entornos multinacionales, el parche de mayo de Microsoft se distribuye centralmente, pero depende de ventanas de mantenimiento local. Un banco global con SharePoint replicado en ocho países aplica el boletín en la sede en tres días y puede tardar semanas en llegar a las unidades distantes. Fue exactamente esta laguna la que CISA quiso cerrar al reducir el plazo del KEV a tres días hábiles.
Lo que aún no sabemos
Microsoft no ha confirmado públicamente el número de organizaciones comprometidas ni ha detallado el vector post-deserialización. CISA tampoco lo ha hecho. En estos casos, el rigor periodístico exige atención redoblada con el vocabulario. No se puede afirmar que "grupos de ransomware explotan" la vulnerabilidad sin confirmación de la víctima o del órgano regulador. Lo que tenemos hasta el cierre de este artículo es: la explotación es activa, el plazo federal es el 4 de julio, el parche está disponible desde el 26 de mayo. El equipo de seguridad que aún no ha aplicado el boletín de mayo tiene menos de 72 horas antes de que la referencia oficial americana se convierta en un estándar de auditoría interna en bancos, aseguradoras y entidades públicas.
El costo real de la demora no es la multa de CISA. Es la próxima línea de examen que los auditores internos harán cuando la lista KEV se convierta en un checklist obligatorio en política ISO 27001 y SOC 2. A partir de este miércoles, todo servidor SharePoint sin el parche de mayo se convierte en un hallazgo automático en cualquier revisión de conformidad, y esto aplica de Nueva York a São Paulo, de Zúrich a Singapur. Para los operadores de nube que aún mantienen sitios SharePoint on-premises por exigencias regulatorias, la situación es aún peor: la excepción de infraestructura legada se convierte en el vector de riesgo que arrastra al resto del parque.