La vulnerabilidad de deserialización permite RCE sin autenticación en SharePoint Server 2016, 2019 y Subscription Edition. Microsoft parcheó en enero pero CISA confirmó explotación activa, dando solo 3 días a agencias federales.
CISA añadió el 18 de marzo la vulnerabilidad CVE-2026-20963 de Microsoft SharePoint a su catálogo de vulnerabilidades explotadas en el salvaje (KEV), confirmando que este fallo crítico de deserialización con CVSS 9.8 está siendo activamente explotado por atacantes. La agencia de ciberseguridad estadounidense ordenó a las agencias civiles del gobierno federal aplicar el parche antes del 21 de marzo, estableciendo un plazo de apenas tres días para la remediación en entornos federales.
El fallo, identificado como CWE-502 (Deserialización de Datos No Confiables), afecta SharePoint Server 2016, 2019 y Subscription Edition. Un atacante remoto sin necesidad de autenticación previa puede ejecutar código arbitrario en el servidor vulnerable enviando una solicitud de red maliciosamente diseñada, según el advisory publicado por Microsoft.
La compañía originalmente calificó el riesgo con CVSS 8.8 durante el Patch Tuesday de enero y posteriormente lo elevó a 9.8, la categoría más crítica en la escala de severidad. Microsoft no ha detallado públicamente la naturaleza de los ataques detectados ni los actores involucrados, y su advisory mantiene una evaluación de "explotación menos probable" pese a la confirmación de CISA.
Microsoft publicó el parche correctivo el 13 de enero de 2026 como parte de su ciclo mensual de actualizaciones de seguridad, dos meses antes de que CISA confirmara la explotación activa. La alerta emitida por CISA advierte que este tipo de vulnerabilidades representan vectores de ataque frecuentes para actores maliciosos y plantean riesgos significativos para la infraestructura federal.
El catálogo KEV de CISA incluye actualmente nueve vulnerabilidades de SharePoint, tres de ellas asociadas a los ataques ToolShell documentados durante 2025, lo que confirma que la plataforma de colaboración de Microsoft sigue siendo un objetivo prioritario para grupos de amenaza.
SharePoint es una plataforma de colaboración empresarial ampliamente desplegada en organizaciones gubernamentales y corporativas de América Latina, donde servidores expuestos a internet representan superficie de ataque para grupos de ransomware y actores de amenaza persistente avanzada. La deserialización insegura es particularmente peligrosa porque permite inyectar objetos maliciosos que el servidor procesa automáticamente sin validación, ejecutando código arbitrario sin credenciales válidas. El contexto regional es relevante: México, Colombia, Chile y Argentina cuentan con miles de instancias de SharePoint en sectores financieros, gubernamentales y de servicios, muchos de los cuales podrían estar ejecutando versiones no actualizadas con exposición directa a internet.
El registro de CISA en su catálogo KEV establece que aunque la directiva BOD 22-01 aplica solo a agencias federales estadounidenses, todas las organizaciones deberían priorizar la remediación de estas vulnerabilidades como práctica estándar de gestión de riesgos.
Este caso se suma a un panorama de amenazas activas que incluye otras plataformas de colaboración bajo ataque. Investigadores de Seqrite Labs documentaron recientemente Operation GhostMail, una campaña atribuida con moderada confianza a un grupo respaldado por Rusia que explota una vulnerabilidad XSS en Zimbra para comprometer entidades gubernamentales ucranianas mediante phishing sin adjuntos maliciosos.
Los administradores de sistemas deben verificar que sus instancias de SharePoint Server estén actualizadas a las versiones parcheadas publicadas en enero de 2026 y para entornos donde el parcheo inmediato no sea viable, se recomienda evaluar mitigaciones alternativas según las instrucciones del fabricante o aislar los servidores de redes no confiables hasta completar la actualización.
FUENTE ORIGINAL
CISA↗CURADO POR
Alejandro Vargas