Blog Blog

SharePoint: CVE-2026-20963 explotada

March 19, 2026
Nestor Martin Guerra Garcia (Dr.Plaga)
Noticias
SharePoint: CVE-2026-20963 explotada

Resumen ejecutivo (CEO)

CISA advirtió que CVE-2026-20963 (SharePoint) se está explotando en la vida real y la sumó al catálogo Known Exploited Vulnerabilities (KEV) el 18/03/2026, con fecha límite 21/03/2026 para remediación en agencias federales.
Es una vulnerabilidad de deserialización de datos no confiables (CWE-502) que puede terminar en ejecución de código en servidores SharePoint; Microsoft la parchó en el Patch Tuesday de enero 2026.

Qué se sabe (sin humo)

  • Afecta (según reportes): SharePoint Enterprise Server 2016, SharePoint Server 2019 y SharePoint Server Subscription Edition.
  • Modelo de ataque (NVD): requiere un atacante autenticado con privilegios bajos (PR:L). Traducción: si te roban una cuenta básica o logran una sesión, el salto puede ser serio.
  • CISA no publicó detalles del actor ni del vector exacto: solo confirmó explotación activa y exigió parche.

Por qué importa

SharePoint suele estar pegado a:

  • documentación interna sensible,
  • flujos de aprobación,
  • integraciones con AD/SSO,
  • y, en muchos entornos, permisos demasiado amplios “por comodidad”.
    Si un atacante entra, el valor no es solo SharePoint: es el pivot.

Acciones (prioridad 0)

Aplicar los parches de enero 2026 para SharePoint en todos los servers afectados (no “cuando haya ventana”).

Revisar cuentas y permisos: como el ataque requiere autenticación, tenés que asumir abuso de credenciales (cuentas viejas, compartidas, service accounts).

Hunting (alto nivel, sin receta de delito):

  • activity anómala de usuarios con pocos privilegios,
  • ejecuciones/procesos raros en el server,
  • accesos fuera de horario y desde geos/IPs inusuales.

Lo que NO sabemos (sin inventar)

  • Qué actores están explotando CVE-2026-20963, ni el método exacto usado en los incidentes reportados por CISA.

Proyección

  • Proyección: aumento de explotación oportunista (sobre todo donde SharePoint está “semi-olvidado”).
  • Probabilidad: alta.
  • Base: entrada a KEV + explotación confirmada + superficie enorme instalada.

Hashtags:
#DrPlaga.sh #SharePoint #CVE #KEV #CISA #RCE #PatchManagement #BlueTeam

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog