Microsoft ha publicado sus actualizaciones de seguridad mensuales correspondientes a marzo de 2026. Un actor malicioso podría lograr la ejecución remota de código, elevar sus privilegios al nivel de administrador de sistemas o provocar una denegación de servicio en los sistemas afectados.
Productos afectados
- Microsoft Devices Pricing Program.
- Microsoft SQL Server.
- System Center Operations Manager (SCOM).
- Entorno de ejecución .NET (9.0 y 10.0) y ASP.NET Core.
- Windows Kernel, Hyper-V y Active Directory.
- Microsoft Office (Excel, SharePoint).
- Servicios de red (DNS, SMB, RRAS, Kerberos).
- Entre otros.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-21536: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de carga sin restricción de archivos de tipo peligroso en Microsoft Devices Pricing Program. Un actor malicioso remoto no autenticado podría lograr la ejecución remota de código en el sistema afectado.
CVE-2026-21262: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de control de acceso inadecuado en Microsoft SQL Server. Un actor malicioso remoto autenticado podría elevar sus permisos en la red.
CVE-2026-20967: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta en System Center Operations Manager. Un actor malicioso remoto autenticado podría explotar esta vulnerabilidad para obtener una escalada de privilegios sobre la red.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias