Microsoft ha lanzado actualizaciones de seguridad para corregir dos nuevas vulnerabilidades que afectan a productos Microsoft Authenticator y Microsoft Exchange. Esto podría permitir a un actor malicioso divulgar información confidencial o realizar suplantación de identidad a través de una red.
Productos afectados
- Exchange Server Subscription Edition RTM
- Actualización acumulativa 15 de Exchange Server 2019
- Actualización acumulativa 14 de Exchange Server 2019
- Actualización acumulativa 23 de Exchange Server 2016
- Autenticador para Android, versiones anteriores a la 6.2605.2973
- Autenticador para iOS, versiones anteriores a la 6.8.47.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-41615: con una puntuación de 9.6 en CVSS v3.1. Se ha detectado una vulnerabilidad de exposición de información confidencial a un agente no autorizado en Microsoft Authenticator. Esto podría permitir que un actor malicioso no autorizado divulgue y acceda a información sensible a través de una red.
CVE-2026-42897: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web en Microsoft Exchange Server lo cual podría permitir a un actor malicioso no autorizado realizar la suplantación de identidad a través de una red.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias