Se han descubierto vulnerabilidades de severidad alta en múltiples productos de Microsoft. Un actor malicioso podría ejecutar código arbitrario de forma remota (RCE) o escalar privilegios en el sistema afectado.
Productos afectados
- Microsoft Office 2019 / 2021 / LTSC: Versiones anteriores a la actualización del 13 de enero de 2026.
- Microsoft 365 Apps for Enterprise: Versiones anteriores a la actualización del 13 de enero de 2026.
- Microsoft Word: Versiones anteriores a la actualización del 13 de enero de 2026.
- Microsoft Excel: Versiones anteriores a la actualización del 13 de enero de 2026.
- Windows 10 / 11 / Server: Versiones anteriores a la actualización del 13 de enero de 2026.
- Otras herramientas con versiones anteriores a la actualización del 13 de enero de 2026.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-20952: con una puntuación de 8.4 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código en Microsoft Office debido a un problema de uso de memoria después de liberarla. Un actor malicioso podría convencer a un usuario para que abra un archivo malicioso, logrando ejecutar código en el sistema afectado.
CVE-2026-20953: con una puntuación de 8.4 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código en Microsoft Office debido a un problema de uso de memoria después de liberarla. Un actor malicioso podría convencer a un usuario para que abra un archivo malicioso, logrando ejecutar código en el sistema afectado.
CVE-2026-20944: con una puntuación de 8.4 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código en Microsoft Word provocada por una lectura fuera de los límites. Un actor malicioso podría utilizar un archivo de Word manipulado para ejecutar código arbitrario cuando el usuario abre el documento.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias