Microsoft liberó esta semana su actualización mensual de seguridad correspondiente a julio de 2026, convirtiéndose en el Patch Tuesday más grande registrado por la compañía. De acuerdo con Microsoft Security Response Center (MSRC), la publicación incorpora 622 vulnerabilidades corregidas en múltiples productos. La actualización incluye dos vulnerabilidades zero-day explotadas activamente y una tercera divulgada públicamente antes de la disponibilidad del parche, además de decenas de fallas críticas que afectan componentes de Windows, Office, SharePoint, Hyper-V, Exchange Server, Azure, Visual Studio y otras plataformas.
Entre las vulnerabilidades explotadas activamente se encuentra CVE-2026-56155, una elevación de privilegios en Active Directory Federation Services (AD FS), y CVE-2026-56164, una falla de elevación de privilegios en Microsoft SharePoint Server que puede ser explotada de forma remota sin autenticación. Microsoft también corrigió CVE-2026-50661, una vulnerabilidad de omisión de BitLocker que había sido divulgada públicamente y que requiere acceso físico al dispositivo para ser explotada. La compañía indicó que las dos primeras ya estaban siendo utilizadas en ataques antes de la publicación de las actualizaciones.
Además de las zero-day, la actualización incorpora correcciones para varias vulnerabilidades críticas de ejecución remota de código. Entre ellas destacan CVE-2026-57092, con una puntuación CVSS de 9,9 en Windows VMSwitch de Hyper-V; CVE-2026-50522 y CVE-2026-58644, dos fallas de ejecución remota de código en SharePoint Server; CVE-2026-56190, que afecta al servidor RDP; CVE-2026-55008, relacionada con Outlook Web Access en Exchange Server; y CVE-2026-50518, una vulnerabilidad en Windows DHCP Server. Según la información publicada por Microsoft y analistas de seguridad, estas fallas afectan distintos componentes de infraestructura empresarial y plataformas ampliamente utilizadas en entornos corporativos.
El un análisis publicado por la firma Zero Day Initiative fue destacada la magnitud de esta actualización al señalar que “el número acumulado de CVE en lo que va del año supera los totales anuales de cualquier otro año”. La organización también recomendó priorizar la instalación de los parches correspondientes a las vulnerabilidades explotadas activamente y a aquellas que afectan servicios expuestos a redes corporativas.
Microsoft explicó previamente que el incremento sostenido en la cantidad de vulnerabilidades corregidas responde, entre otros factores, al uso de sistemas basados en inteligencia artificial para acelerar la identificación de fallas dentro de su propio código. En línea con ello, la compañía recomendó reducir los tiempos de despliegue de las actualizaciones de seguridad. Según su guía, indicaron que habían “actualizado nuestras recomendaciones para implementar actualizaciones de Windows a menos de tres días como período de aplazamiento para las actualizaciones de calidad”.
La actualización también marca un cambio en la forma en que Microsoft presenta la información del Patch Tuesday. El Security Update Guide dejó de mostrar el listado consolidado de CVE en la página principal y ahora resume las vulnerabilidades por familias de productos, manteniendo disponibles los avisos individuales de cada identificador. Mientras continúan aumentando los volúmenes de vulnerabilidades detectadas, los investigadores coinciden en que las organizaciones deberán priorizar la instalación de las actualizaciones correspondientes a fallas explotadas activamente y aquellas que afectan servicios críticos de infraestructura.


