La Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA) incorporó la vulnerabilidad CVE-2026-45659 al catálogo Known Exploited Vulnerabilities (KEV), confirmando que la falla está siendo explotada activamente. La vulnerabilidad afecta a Microsoft SharePoint Server y fue corregida por Microsoft mediante actualizaciones publicadas en mayo de este año para SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016.
La vulnerabilidad, con una puntuación CVSS de 8,8, corresponde a una deserialización de datos no confiables que puede permitir la ejecución remota de código. Según Microsoft, cualquier usuario autenticado con permisos mínimos de Site Member puede aprovechar la falla a través de la red, sin requerir privilegios administrativos ni interacción de otros usuarios.
En su descripción oficial, Microsoft señala que «la deserialización de datos no confiables en Microsoft Office SharePoint permite que un atacante autorizado ejecute código a través de una red». Asimismo, indicó que «cualquier atacante autenticado podría desencadenar esta vulnerabilidad. No requiere privilegios de administrador u otros privilegios elevados».
Tras incorporar la falla al catálogo KEV, CISA ordenó a las agencias federales de ese país agrupadas en la Federal Civilian Executive Branch (FCEB), aplicar las actualizaciones de seguridad antes del 4 de julio, de acuerdo con la directiva Binding Operational Directive (BOD) 26-04, que prioriza la corrección de vulnerabilidades explotadas activamente.
En su alerta, CISA advirtió que «este tipo de vulnerabilidad es un vector de ataque frecuente para actores cibernéticos maliciosos y representa riesgos significativos para el entorno federal». La agencia también recomendó seguir las directrices de la BOD 26-04 para servicios en la nube o dejar de utilizar el producto cuando no existan medidas de mitigación disponibles.
Hasta el momento, ni CISA ni Microsoft han entregado detalles sobre los actores responsables de la explotación ni sobre los objetivos de las campañas observadas. Microsoft mantiene una evaluación de «Exploitation Less Likely» —explotación poco probable— para la vulnerabilidad, pese a que la agencia estadounidense confirmó que ya existe evidencia de ataques en curso.
Las estadísticas públicas de organización Shadowserver muestran que actualmente existen más de 10 mil servidores Microsoft SharePoint expuestos a Internet. Sin embargo, la plataforma no informa cuántos de estos sistemas ya fueron actualizados o permanecen vulnerables frente a CVE-2026-45659.


