Microsoft corrige 198 vulnerabilidades en su Patch Tuesday de Junio 2026 con 3 zero-days

Microsoft publicó el 9 de junio de 2026 su actualización mensual, corrigiendo 198 vulnerabilidades en múltiples componentes de su ecosistema, incluyendo 3 zero-days activamente explotados. Entre las fallas destacan elevaciones de privilegio, ejecución remota de código y bypass criptográficos, afectando servicios críticos como BitLocker, HTTP.sys, Remote Desktop y Hyper-V. Se recomienda a los administradores priorizar la aplicación inmediata de los parches para mitigar riesgos elevados en entornos externos y protegidos.

CVE y severidad

CVETipoSeveridadComponente afectadoExplotación conocida
CVE-2026-50507Security Feature BypassImportanteWindows BitLocker
CVE-2026-49160Denial of ServiceImportanteHTTP.sys (HTTP/2)
CVE-2026-45586Variado (confirmado zero-day)ImportanteVarios
CVE-2026-44801, CVE-2026-44799, CVE-2026-42992, CVE-2026-42985Remote Code ExecutionCríticaRemote Desktop ClientNo consta
CVE-2026-47652, CVE-2026-45641, CVE-2026-45607Remote Code ExecutionCríticaWindows Hyper-VNo consta
CVE-2026-47291Remote Code ExecutionCríticaHTTP.sysNo consta
CVE-2026-47288Remote Code ExecutionCríticaWindows Kerberos KDC (AD)No consta
CVE-2026-45648Remote Code ExecutionCríticaActive Directory Domain ServicesNo consta
CVE-2026-32193Remote Code ExecutionCríticaAzure Kubernetes Service (AKS)No consta
CVE-2026-26142Remote Code ExecutionCríticaNuance PowerScribe (salud)No consta
CVE-2026-45458, CVE-2026-45456, CVE-2026-45474, CVE-2026-45472Remote Code ExecutionCríticaMicrosoft Office (Outlook, Word)No consta
CVE-2026-48583, CVE-2026-45653, CVE-2026-44810Elevation of PrivilegeCrítica (Microsoft Cryptographic Services)Núcleo Windows y servicios criptográficosNo consta

Productos afectados

FabricanteProductoComponenteDescripción general del impacto
MicrosoftWindows 10/11 y Server 2022+BitLocker, Hyper-V, Kernel, DWM Core Library, WinSock, Push Notifications, Secure Boot, HTTP.sys , Kerberos KDC, Active Directory Domain Services, Remote Desktop Client Ejecución remota de código, elevación de privilegios, bypass criptográfico, denegación de servicio y suplantación.
MicrosoftAzure Kubernetes Service (AKS)Afecta componentes RCE críticos en el servicio gestionado de Kubernetes.Ejecución remota de código que puede comprometer contenedores y clusters AKS.
MicrosoftMicrosoft Office (Outlook y Word)Múltiples vulnerabilidades RCE explotables vía documentos maliciosos entregados por correo o archivos.Ejecución remota de código con posible escalada a nivel sistema si no se parchea.
MicrosoftNuance PowerScribe (entornos sanitarios)Ejecución remota de código crítica en software usado en hospitales y clínicas.Compromiso potencial de sistemas sanitarios sensibles.

Solución

Aplicar la actualización correspondiente publicada en el Patch Tuesday de junio 2026 disponible para todos los productos afectados.

Recomendaciones

Dada la existencia de tres zero-days activos y múltiples vulnerabilidades críticas de ejecución remota de código, se recomienda priorizar la aplicación inmediata de este conjunto de parches. Windows: especial atención a BitLocker, HTTP.sys, Remote Desktop y hosts Hyper-V. Hasta completar la actualización, reducir la exposición restringiendo accesos RDP e implementando segmentación de red donde sea posible.

Referencias