Microsoft abordó 165 vulnerabilidades que afectan a sus diversos productos y sistemas subyacentes, incluida una vulnerabilidad explotada activamente en Microsoft Office SharePoint, en el informe de este mes. Actualización del martes de parches.

«Según mis cálculos, este es el segundo lanzamiento mensual más grande en la historia de Microsoft», escribió Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro, en un publicación de blog Martes.

Microsoft no explicó por qué su lote mensual de parches creció tanto este mes, pero Childs señaló que muchos programas de vulnerabilidad están experimentando un aumento significativo en los envíos encontrados por herramientas de inteligencia artificial. «Para nosotros, nuestra tasa de llegada esencialmente se ha triplicado, lo que hace que la clasificación sea un desafío, por decir lo menos», añadió.

La vulnerabilidad de día cero CVE-2026-32201 – tiene una calificación CVSS de 6,5 y permite a los atacantes ver información confidencial y realizar cambios en la información divulgada. Microsoft dijo que el defecto de validación de entrada incorrecta en Microsoft Office SharePoint permite a atacantes no autenticados realizar suplantación de identidad en una red.

La Agencia de Seguridad de Infraestructura y Ciberseguridad añadió el día cero a su catálogo de vulnerabilidades explotadas conocidas poco después de la divulgación de Microsoft.

Microsoft también abordó una vulnerabilidad de alta gravedad: CVE-2026-33825 – eso se conoció públicamente en el momento de la publicación. El proveedor dijo que es más probable que el defecto en Microsoft Defender sea explotado y podría permitir a atacantes no autorizados elevar los privilegios localmente.

«Lo que comienza como un punto de apoyo puede convertirse rápidamente en un dominio total del sistema», dijo Jack Bicer, director de investigación de vulnerabilidades en Action1, en una publicación de blog sobre la vulnerabilidad.

«Una vez explotado, permite un control total sobre los puntos finales, lo que permite la filtración de datos, la desactivación de herramientas de seguridad y el movimiento lateral a través de las redes», dijo Bicer.

El código de prueba de concepto para explotar el defecto está disponible públicamente, lo que aumenta la probabilidad de explotación en la naturaleza, añadió.

Microsoft reveló dos vulnerabilidades críticas este mes: CVE-2026-33824 afectando la extensión IKE de Windows y CVE-2026-26149 que afecta a Microsoft Power Apps, pero designó ambos defectos como menos propensos a ser explotados.

Según Microsoft, más de las tres cuartas partes de las vulnerabilidades reveladas este mes tienen menos probabilidades de ser explotadas. Mientras tanto, la empresa designó 19 vulnerabilidades como con mayor probabilidad de ser explotadas.

La lista completa de vulnerabilidades abordadas este mes está disponible en Centro de respuesta de seguridad de Microsoft.