Más de 1.300 servidores de Microsoft SharePoint con acceso a internet permanecen sin la actualización necesaria para corregir una vulnerabilidad de suplantación (spoofing) que está siendo utilizada en ataques activos, según informa bleepingcomputer.com.
El fallo de seguridad, registrado como CVE-2026-32201, afecta a SharePoint Enterprise Server 2016, SharePoint Server 2019 y SharePoint Server Subscription Edition.
Los atacantes pueden aprovechar una debilidad en la validación de entradas para realizar suplantaciones de red. Este ataque, de baja complejidad, no requiere interacción del usuario y puede ser ejecutado por actores de amenazas sin necesidad de privilegios previos.
Microsoft ha declarado que una explotación exitosa permite a los atacantes visualizar información sensible y modificar datos divulgados, aunque no puede limitar el acceso al recurso.
Orden de parcheo para agencias federales
La organización de seguridad en internet Shadowserver informó el martes que menos de 200 sistemas han sido actualizados desde que Microsoft lanzó los parches de seguridad la semana pasada.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha añadido esta vulnerabilidad a su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV).
La CISA ha ordenado a las agencias de la Rama Ejecutiva Civil Federal (FCEB) que parcheen sus servidores de SharePoint antes del 28 de abril. Este mandato se produce en cumplimiento de la Directiva Operativa Vinculante 22-01 de la propia agencia.
"Este tipo de vulnerabilidad es un vector de ataque frecuente para los ciberdelincuentes y plantea riesgos significativos para la empresa federal", advirtió la CISA.
La agencia instruyó a los departamentos federales a aplicar las mitigaciones del proveedor o, en caso de que no haya medidas disponibles, a dejar de utilizar el producto.
Microsoft lanzó originalmente los parches para este fallo como parte de su 'Patch Tuesday' de abril de 2026. Aunque la compañía confirmó que se trataba de una vulnerabilidad de día cero, no ha vinculado la actividad maliciosa actual a ningún grupo de hackers específico.
