(https://www.bleepstatic.com/content/hl-images/2024/10/08/patch_tuesday_microsoft.jpg)
Hoy es el «Patch Tuesday» (Martes de Parches) de marzo de 2026 de Microsoft, con actualizaciones de seguridad para 79 fallos, incluidas 2 vulnerabilidades de día cero divulgadas públicamente.
Este Patch Tuesday también aborda tres vulnerabilidades de categoría «Crítica»; dos de ellas son fallos de ejecución remota de código y la otra es un fallo de divulgación de información.
A continuación se detalla el número de fallos en cada categoría de vulnerabilidad:
46 vulnerabilidades de elevación de privilegios
2 vulnerabilidades de omisión de características de seguridad
18 vulnerabilidades de ejecución remota de código
10 vulnerabilidades de divulgación de información
4 vulnerabilidades de denegación de servicio
4 vulnerabilidades de suplantación (spoofing)
El recuento de fallos no incluye los 9 fallos de Microsoft Edge, Mariner, Payment Orchestrator Service, Azure y el Microsoft Devices Pricing Program que fueron corregidos a principios de este mes.
Dos vulnerabilidades de día cero y fallos en Microsoft Office
El «Patch Tuesday» (Martes de parches) de este mes corrige dos vulnerabilidades de día cero divulgadas públicamente; hasta el momento, no se tiene constancia de que ninguna de ellas haya sido explotada en ataques reales.
Microsoft clasifica una vulnerabilidad de día cero como «divulgada públicamente» o «explotada activamente» cuando aún no existe una solución oficial disponible para la misma.
Las dos vulnerabilidades de día cero divulgadas públicamente son:
CVE-2026-21262: Vulnerabilidad de elevación de privilegios en SQL Server
Microsoft ha corregido un fallo de elevación de privilegios en SQL Server, divulgado públicamente, que permite obtener privilegios de administrador (SQLAdmin).
«Un control de acceso inadecuado en SQL Server permite a un atacante autorizado elevar sus privilegios a través de la red», explica Microsoft.
Microsoft ha reconocido a Erland Sommarskog el mérito de haber descubierto este fallo.
CVE-2026-26127: Vulnerabilidad de denegación de servicio en .NET
Microsoft ha corregido un fallo de denegación de servicio en .NET, divulgado públicamente.
«Una lectura fuera de los límites de memoria en .NET permite a un atacante no autorizado provocar una denegación de servicio a través de la red», explica Microsoft.
Este fallo fue atribuido a un investigador anónimo.
Microsoft también ha corregido dos errores de ejecución remota de código ( CVE-2026-26110 y CVE-2026-26113 ), ambos presentes en Microsoft Office, que pueden ser explotados a través del panel de vista previa. Por consiguiente, los usuarios deberían priorizar la actualización de esta aplicación.
Reviste un interés particular la vulnerabilidad de divulgación de información en Microsoft Excel (CVE-2026-26144), dado que podría utilizarse para la exfiltración de datos a través de Microsoft Copilot.
«Un atacante que lograra explotar con éxito esta vulnerabilidad podría, potencialmente, provocar que el modo "Agente" de Copilot exfiltre datos mediante una salida de red no intencionada, posibilitando así un ataque de divulgación de información de "cero clics"», explica Microsoft.
Actualizaciones recientes de otras empresas
Otros proveedores que publicaron actualizaciones o avisos en marzo de 2026 incluyen:
Adobe publicó actualizaciones de seguridad para Commerce, Illustrator, Substance 3D Painter, Acrobat Reader, Premiere Pro y otros productos. Ninguna de las vulnerabilidades ha sido catalogada como explotada.
Cisco publicó actualizaciones de seguridad para numerosos productos.
Fortinet publicó actualizaciones de seguridad para FortiOS, FortiPAM y FortiProxy.
Google publicó el boletín de seguridad de Android correspondiente a marzo, el cual corrigió una vulnerabilidad de día cero que estaba siendo explotada activamente en un componente de visualización de Qualcomm.
HPE corrigió múltiples vulnerabilidades en HPE Aruba Networking AOS-CX.
SAP publicó las actualizaciones de seguridad de marzo para múltiples productos, incluyendo correcciones para dos vulnerabilidades críticas.
Actualizaciones recientes de otras empresas
Otros proveedores que publicaron actualizaciones o avisos en marzo de 2026 incluyen:
Adobe publicó actualizaciones de seguridad para Commerce, Illustrator, Substance 3D Painter, Acrobat Reader, Premiere Pro y otros productos. Ninguna de las vulnerabilidades ha sido catalogada como explotada.
Cisco publicó actualizaciones de seguridad para numerosos productos.
Fortinet publicó actualizaciones de seguridad para FortiOS, FortiPAM y FortiProxy.
Google publicó el boletín de seguridad de Android correspondiente a marzo, el cual corrigió una vulnerabilidad de día cero que estaba siendo explotada activamente en un componente de visualización de Qualcomm.
HPE corrigió múltiples vulnerabilidades en HPE Aruba Networking AOS-CX.
SAP publicó las actualizaciones de seguridad de marzo para múltiples productos, incluyendo correcciones para dos vulnerabilidades críticas.
Actualizaciones de seguridad del Patch Tuesday de marzo de 2026
A continuación, se presenta la lista completa de vulnerabilidades resueltas en las actualizaciones del Patch Tuesday de marzo de 2026.
Para acceder a la descripción completa de cada vulnerabilidad y a los sistemas que esta afecta, puede consultar el informe completo aquí:
https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/Microsoft-Patch-Tuesday-March-2026.html
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2026-patch-tuesday-fixes-2-zero-days-79-flaws/