Más de 1370 servidores Microsoft SharePoint vulnerables a ataques de phishing expuestos en línea

Una vulnerabilidad crítica de phishing en Microsoft SharePoint Server, rastreada como CVE-2026-32201, permanece sin aplicar parches en más de 1.370 direcciones IP conectadas a Internet en todo el mundo, según datos de escaneo recientes de la Fundación Shadowserver, incluso cuando la falla se encuentra en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA con exploit activa confirmada en la naturaleza. CVE-2026-32201 tiene su origen en una validación de entrada incorrecta (CWE-20) dentro del componente de procesamiento de solicitudes de Microsoft Office SharePoint Server.

Vulnerable en servidores Microsoft SharePoint Microsoft reveló CVE-2026-32201 el 14 de abril de 2026, como parte de su ciclo de actualización del martes de parches de abril, que abordó un total de 169 vulnerabilidades. CISA simultáneamente agregó la vulnerabilidad a su catálogo KEV el 14 de abril, citando evidencia confirmada de exploit activa, y emitió una fecha límite federal de remediación del 28 de abril de 2026. El rápido listado de KEV de CISA que se mueve al mismo ritmo que el lanzamiento del parche de Microsoft indica la gravedad con la que los actores de amenazas están apuntando activamente a la infraestructura de SharePoint sin parches. Este patrón refleja la campaña de exploit “ToolShell” de 2025, en la que cientos de clientes de SharePoint fueron atacados a través de las vulnerabilidades encadenadas de SharePoint CVE-2025-49704 y CVE-2025-49706.cybersecuritydive+1.

Los datos de escaneo de Shadowserver Foundation revelan que 1370 direcciones IP sin parches aún estaban expuestas a CVE-2026-32201 al 20 de abril. Las organizaciones deben tomar las siguientes medidas inmediatas: Aplicar las actualizaciones de seguridad del martes de parches de abril de 2026 de Microsoft para todas las versiones compatibles de SharePoint Server (2016, 2019, edición de suscripción).

Consultar publicación original ↗