Microsoft SharePoint Server tiene un fallo crítico de ejecución remota de código, CVE-2026-58644, que arrastra una puntuación CVSS de 9.8 y ya se está explotando de forma activa. Microsoft lo corrigió en la entrega del Patch Tuesday del July 14 y después revisó discretamente el boletín para admitir que el fallo se había convertido en arma como zero-day antes de que existiera solución alguna. CISA lo añadió a su catálogo de Known Exploited Vulnerabilities el July 17 y dio a las agencias federales hasta el July 19 para parchear. Si ejecutas SharePoint on-premises y está expuesto a internet, trátalo como una emergencia, y ten presente que instalar el parche es solo la mitad del trabajo.
¿Qué es CVE-2026-58644?
CVE-2026-58644 es una vulnerabilidad de deserialización de datos no confiables en SharePoint Server on-premises. Un atacante autenticado con privilegios de al menos Site Owner puede escribir y ejecutar código arbitrario en el servidor a través de la red, razón por la cual Microsoft la califica con 9.8 y baja complejidad de ataque. Es explotable de forma remota a través de internet, y el rol de Site Owner no es una barrera alta en una intranet grande donde cientos de empleados pueden ser propietarios de un sitio.
El fallo afecta a las versiones on-premises soportadas: SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016. SharePoint Online en Microsoft 365 no está afectado, porque Microsoft parchea su propio entorno alojado. Este es estrictamente un problema autoalojado, y recae sobre los mismos servidores on-premises que han encajado una racha brutal de fallos críticos durante el último año.
Por qué es una emergencia de "parchea ya"
Tres hechos empujan a CVE-2026-58644 a lo más alto de la cola. Primero, se explotó como zero-day: los atacantes tenían código funcional antes de que los defensores tuvieran un parche, así que cualquier servidor expuesto podría ya estar comprometido. Segundo, CISA actuó rápido, añadiéndolo al catálogo KEV el July 17 con una fecha límite de remediación del July 19 para las agencias federales. Una ventana federal de dos días es inusualmente corta y señala que la explotación es real y se está extendiendo. Tercero, no es el único fallo de SharePoint bajo ataque activo en este momento.
El aviso de CISA señala un grupo de fallos de SharePoint explotados, con CVE-2026-58644 junto a CVE-2026-32201, CVE-2026-45659 y CVE-2026-56164. SharePoint on-premises se ha convertido en un objetivo predilecto porque está expuesto a internet, guarda documentos sensibles y a menudo va rezagado en los parches. Es el mismo patrón que hay detrás de otros RCE expuestos a internet que hemos cubierto este año, desde el fallo pre-auth en Progress KEMP LoadMaster hasta un Patch Tuesday de junio que sacó seis zero-days distintos.
Parchear por sí solo no te salvará
Aquí está la parte que la mayoría de la cobertura se salta. Para un fallo de deserialización de SharePoint, aplicar la actualización cierra la puerta, pero no desaloja a quien ya esté dentro. La campaña "ToolShell" de 2025 dejó a los defensores una lección dura: una vez que un atacante alcanza la ejecución de código en SharePoint, cosecha las machine keys de ASP.NET del servidor, y esas claves le permiten falsificar cargas __VIEWSTATE firmadas para volver a entrar incluso después de que el servidor esté totalmente parcheado. Un parche no rota una clave robada.
Por eso precisamente la guía de fortalecimiento de CISA va mucho más allá de "instala la actualización". La agencia indica a los operadores de SharePoint que habiliten la integración con AMSI, roten las machine keys de IIS y busquen y eliminen herramientas de cosecha de machine keys y otros artefactos de intrusión antes de dar por cerrado el incidente. Si tu servidor estuvo expuesto a internet en los días previos a parchear, debes asumir que las claves pudieron ser sustraídas y rotarlas, y luego reiniciar IIS para que el cambio surta efecto.
Tu lista de comprobación de remediación
Trabaja de arriba abajo. No te detengas en el paso uno.
| Prioridad | Acción | Por qué importa |
|---|---|---|
| 1 | Aplica las actualizaciones de SharePoint de July 2026 en cada servidor on-premises | Cierra CVE-2026-58644 y las CVE explotadas relacionadas |
| 2 | Habilita AMSI en Full Mode y confirma que Defender/AV está activo | Bloquea muchas cargas de web shell y de deserialización en tiempo de ejecución |
| 3 | Rota las machine keys de IIS y luego reinicia IIS | Invalida cualquier clave que un atacante ya pudiera haber robado |
| 4 | Busca web shells, herramientas de cosecha de claves y procesos hijo extraños de w3wp.exe | Una máquina parcheada aún puede ser una máquina comprometida |
| 5 | Saca SharePoint de la internet pública o ponlo tras una pasarela VPN/ZTNA | Elimina la exposición que lo hace explotable de forma remota |
| 6 | Restringe el acceso a Central Administration y activa un registro adaptado | Limita el radio de impacto y te da evidencias si te golpean |
Si SharePoint no necesita mirar hacia la internet pública, la solución más limpia es dejar de exponerlo por completo. El mismo principio se aplica a cualquier servicio autoalojado que ejecutes; es lo primero que conviene blindar cuando configuras la primera hora segura de un servidor nuevo.
El panorama general
CVE-2026-58644 llegó dentro de uno de los Patch Tuesdays más grandes de la historia de Microsoft, y SharePoint on-premises sigue generando RCE críticos y activamente explotados trimestre tras trimestre. Para muchas organizaciones la pregunta honesta ya no es "con qué rapidez podemos parchear este", sino "por qué este servidor de documentos sigue siendo accesible desde la internet abierta". Parchear aquí es obligatorio y urgente. Reducir la superficie de ataque, para que el próximo zero-day de SharePoint no sea una crisis expuesta a internet, es la victoria a largo plazo.
Preguntas frecuentes
¿Se está explotando CVE-2026-58644 de forma activa?
Sí. Microsoft confirmó la explotación en el mundo real y revisó su aviso para marcar el fallo como zero-day, y CISA lo añadió al catálogo de Known Exploited Vulnerabilities el July 17, 2026 con una fecha límite federal de parcheo del July 19.
¿Están afectados SharePoint Online o Microsoft 365?
No. La vulnerabilidad afecta únicamente a SharePoint Server on-premises, en concreto a Subscription Edition, 2019 y Enterprise Server 2016. SharePoint Online, alojado por Microsoft, es parcheado por Microsoft y queda fuera del alcance.
¿Realmente necesito rotar las machine keys después de parchear?
Si tu servidor estuvo expuesto a internet antes de aplicar la solución, sí. Los atacantes que alcanzaron la ejecución de código pueden robar machine keys de ASP.NET y reutilizarlas para recuperar el acceso tras el parcheo, por lo que CISA aconseja rotar las machine keys de IIS y reiniciar IIS como parte de la remediación.
¿Necesita el atacante estar autenticado?
Sí, al menos como Site Owner. Esa es una barrera más baja de lo que parece en un despliegue grande con muchos propietarios de sitio, y combinada con la baja complejidad de ataque y el alcance por red aún se gana una calificación de gravedad de 9.8.
Sources
- The Hacker News — CISA Adds Exploited SharePoint RCE Zero-Day CVE-2026-58644 to KEV: CVSS 9.8, RCE de deserialización, explotación de zero-day en el mundo real, incorporación al KEV el July 17 y la fecha límite federal del July 19, CVE explotadas relacionadas.
- SecurityWeek — Fresh SharePoint Vulnerability Exploited Soon After Disclosure: requisito de Site Owner autenticado, baja complejidad de ataque, explotación remota a través de internet.
- CISA — Known Exploited Vulnerabilities Catalog: fecha límite federal de remediación y guía de fortalecimiento de SharePoint (AMSI, rotar las machine keys de IIS, eliminar artefactos de cosecha de claves, restringir Central Administration).
Waqas Ahmed Waseer
Waqas Ahmed Waseer es desarrollador y creador de automatizaciones con más de 8 años construyendo sistemas en producción que usan más de 100.000 personas. Crea SaaS multiinquilino a medida, automatización con IA (n8n, flujos LLM, bots de WhatsApp) e infraestructura de hosting (WHM/cPanel, CloudLinux), y es el creador de WaSphere, FlowMaticX y la marca de hosting WaseerHost. Más de 100 proyectos entregados para pymes, agencias y startups financiadas.



