CVE-2026-20963

Microsoft SharePoint Remote Code Execution Vulnerability

CVSS 9.8 CRITICALEPSS 31.1%● KEVCWE-502

En resumen

Microsoft SharePoint tiene una falla crítica que permite a los atacantes ejecutar código malicioso en servidores enviando archivos especialmente diseñados. Esto sucede porque el software procesa datos no confiables sin validación adecuada, poniendo en riesgo todos los datos del sistema.

Detalle técnico

CVE-2026-20963 explota desserialización insegura (CWE-502) en el procesamiento de datos de SharePoint, permitiendo ejecución remota de código mediante entrega de payload por red. La vulnerabilidad no requiere autenticación y permite que un atacante ejecute código arbitrario con los privilegios del servicio SharePoint, afectando la confidencialidad, integridad y disponibilidad del contenido alojado.

Resumen generado y traducido por IA a partir de la descripción oficial.

Deserialization of untrusted data in Microsoft Office SharePoint allows an unauthorized attacker to execute code over a network.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

Productos afectados

Microsoft · Microsoft SharePoint Enterprise Server 2016 Microsoft · Microsoft SharePoint Server 2019 Microsoft · Microsoft SharePoint Server Subscription Edition

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20963 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-20963