En el Patch Tuesday de mayo de 2026, Microsoft solucionó 120 vulnerabilidades que afectan a Windows, Office, Azure, herramientas de desarrollo y aplicaciones Microsoft 365, entre ellas 29 fallos críticos de ejecución remota de código (RCE). Aunque no se reportaron zero-days explotados o divulgados públicamente antes del lanzamiento, la amplia superficie de ataque que abarca desde DNS y Netlogon hasta Office y controladores Wi-Fi requiere atención prioritaria por parte de los equipos de seguridad y administradores de sistemas.
CVE y severidad
| CVE | Tipo | Severidad | Componente afectado |
|---|---|---|---|
| CVE-2026-42898 | RCE | Crítica | Microsoft Dynamics 365 on-premises |
| CVE-2026-42833 | RCE | Crítica | Microsoft Dynamics 365 on-premises |
| CVE-2026-42831 | RCE | Crítica | Microsoft Office/Word |
| CVE-2026-40363 | RCE | Crítica | Microsoft Office/Word |
| CVE-2026-40358 | RCE | Crítica | Microsoft Office/Word |
| CVE-2026-41096 | RCE | Crítica | Windows DNS Client |
| CVE-2026-41089 | RCE | Crítica | Netlogon |
| CVE-2026-40403 | RCE | Crítica | Windows Graphics/Win32k |
| CVE-2026-35421 | RCE | Crítica | Windows GDI |
| CVE-2026-32161 | RCE | Crítica | Windows Native Wi-Fi Miniport |
| CVE-2026-40365 | RCE | Crítica | Microsoft SharePoint Server |
| CVE-2026-40402 | EoP | Crítica | Windows Hyper-V |
| CVE-2026-41613 | Múltiple | Importante | Visual Studio Code y GitHub Copilot |
| CVE-2026-41109 | Múltiple | Importante | Visual Studio Code y GitHub Copilot |
Productos afectados
Microsoft Visual Studio Code, .NET y ASP.NET Core en entornos de nube, escritorio y dispositivos móviles.
|
Producto |
Componente afectado |
Plataformas/SO |
|
Windows |
DNS Client, Netlogon, Win32k, Hyper-V, TCP/IP, controladores kernel y subsistemas de telefonía |
Windows Server y Windows Client (múltiples versiones) |
|
Microsoft Office y Word |
Múltiples vulnerabilidades RCE en documentos y renderizado |
Windows y macOS (según la edición afectada) |
|
Dynamics 365 On-premises y Business Central |
RCE y fallas de acceso empresarial crítico |
Windows Server y entornos híbridos con Azure |
|
Microsoft SharePoint Server |
RCE en servidores SharePoint |
Windows Server y entornos híbridos/locales |
|
M365 Copilot (Desktop y Android), GitHub Copilot y Azure ML Notebooks |
Spoofing, EoP, DoS e Information Disclosure en herramientas IA |
Windows, Android y servicios basados en Azure |
Solución
Aplicar todas las actualizaciones de seguridad de mayo 2026 tan pronto como sea posible disponibles mediante Windows Update y los paquetes oficiales de Microsoft.
Recomendaciones
Dado el volumen y criticidad de las vulnerabilidades corregidas, se recomienda priorizar la actualización inmediata de sistemas expuestos a internet y servicios estratégicos como Dynamics 365, SharePoint, Windows DNS Client, Netlogon y componentes gráficos de Windows. Además, planifique ventanas de mantenimiento para actualizaciones de entornos virtualizados que utilicen Hyper-V y no omita las correcciones relacionadas con asistentes de IA y Azure para minimizar riesgos en flujos automatizados.
Referencias
- Fuente original – Cyber Security News: Microsoft Patch Tuesday mayo 2026 – 120 Vulnerabilidades Fixeadas incluyendo 29 RCE críticas
- NVD – CVE-2026-42898: Microsoft Dynamics 365 RCE crítica
- MITRE CVE-2026-42898 Details
- NVD – CVE-2026-41096: Windows DNS Client RCE crítica
- MITRE CVE-2026-41096 Details
- NVD – CVE-2026-41089: Netlogon RCE crítica similar a Zerologon
- MITRE CVE-2026-41089 Details
- NVD – CVE-2026-40402: Windows Hyper-V privilege escalation crítica
- MITRE CVE-2026-40402 Details
- NVD – CVE-2026-41613: Visual Studio Code & Copilot EoP/RCE importante
- MITRE CVE-2026-41613 Details
- BleepingComputer: Análisis adicional sobre parches Windows mayo 2026 – Hyper-V y RCE críticas
- Dark Reading: Microsoft corrige RCE críticas en múltiples productos con el Patch Tuesday de mayo 2026
- Hacker News: Discusión sobre impacto y mitigación de vulnerabilidades mayo 2026 Microsoft Patch Tuesday