CVE-2026-32201, un zero-day de SharePoint Server

La vulnerabilidad más relevante ahora mismo es CVE-2026-32201, un zero-day de SharePoint Server que ya figura como explotado activamente y que afecta a la integridad de la información compartida en entornos corporativos.

Qué es

• Producto afectado: Microsoft Office SharePoint Server.
• Tipo de fallo: validación de entrada incorrecta (improper input validation), que permite a un atacante no autorizado realizar spoofing por red.
• Efecto práctico: suplantar contenido, alterar datos o engañar a usuarios/sistemas que confían en SharePoint.

Severidad y estado

• NVD y CVE.org describen el fallo como una vulnerabilidad de spoofing en SharePoint, y varias fuentes la sitúan en torno a CVSS 6.5–9.0 según la métrica empleada y el análisis de terceros.
• INCIBE y otros avisos de abril de 2026 la señalan como explotada activamente.
• Microsoft la incluyó en su actualización de abril de 2026, que corrigió 168 vulnerabilidades en total.

Riesgo operativo

• Si SharePoint se usa para documentación, portales internos o flujos ligados a identidad, un atacante puede aprovechar el fallo para manipular contenido o engañar a usuarios con material aparentemente legítimo.
• En entornos críticos, esto puede impactar en procedimientos, aprobaciones, intercambio de archivos y confianza en la información operativa.

Qué hacer

• Parchar SharePoint Server cuanto antes con la actualización de abril 2026.
• Revisar exposición: si SharePoint está publicado a Internet o accesible desde redes amplias, reducir superficie de acceso.
• Buscar señales de abuso: cambios extraños en documentos, enlaces falsos, accesos anómalos y actividad no habitual en sitios de SharePoint.

Vector de ataque

• Es una vulnerabilidad remota sobre la red, sin necesidad de autenticación previa, en la capa de aplicación de Microsoft SharePoint Server.
• El atacante envía solicitudes especialmente construidas para hacer pasar contenido o identidad por legítimos, abusando de cómo SharePoint valida entradas durante el manejo de autenticación o sesiones.
• Las fuentes describen el impacto como spoofing: suplantación de información, usuarios o servicios dentro del portal SharePoint.

Método de explotación

• A nivel práctico, el abuso consiste en peticiones HTTP/HTTPS mal formadas hacia el portal SharePoint que aprovechan la validación insuficiente para engañar al servidor.
• Los atacantes pueden usar herramientas genéricas de proxy y pruebas web para iterar sobre parámetros, cabeceras o flujo de autenticación; no se requiere acceso previo al sistema para disparar el fallo.
• El objetivo más probable no es “romper” SharePoint de forma inmediata, sino alterar la confianza: presentar contenido falso, capturar credenciales, o preparar campañas posteriores de phishing y movimiento lateral.

Mitigación prioritaria

• Aplicar de inmediato el parche de abril de 2026 para SharePoint Server, ya que Microsoft lo incluye en la oleada que corrige 168 vulnerabilidades.
• Reducir exposición: si SharePoint está publicado, restringir acceso por VPN, listas de control o segmentación; si no necesita acceso externo, retirarlo de Internet.
• Revisar actividad reciente: cambios extraños en páginas, documentos, permisos, alertas de autenticación anómalas y accesos desde orígenes no habituales.
• Endurecer el portal: WAF delante de SharePoint, MFA en cuentas privilegiadas y revisión de configuraciones de sesión/autenticación.

Qué mirar en logs

• Peticiones inusuales a /_layouts/, endpoints de autenticación o rutas de administración del portal.
• Patrones de usuario-agente o secuencias de petición que no encajan con navegación normal.
• Incremento de errores 401/403 seguido de accesos válidos desde la misma IP o rango, que puede indicar tanteo o abuso de sesión.

Riesgo operativo

• Aunque el CVSS inicial no sea el más alto, la combinación de explotación activa + servidor de confianza + información sensible hace que el riesgo sea alto en la práctica.
• En organizaciones donde SharePoint soporta documentación, procesos o integraciones con identidad, la manipulación del contenido puede tener impacto real en negocio y en seguridad.