Las actualizaciones de seguridad de mayo de 2026 de **Microsoft** abordan 138 vulnerabilidades, de las cuales 30 están clasificadas como Críticas, 104 como Importantes, tres como Moderadas y una como Baja. Un número significativo, 61, son fallas de escalada de privilegios, seguidas por 32 fallas de ejecución remota de código. La actualización también incorpora un parche para una vulnerabilidad de **AMD**, **CVE-2025-54518** (puntaje CVSS: 7.3), relacionada con el aislamiento inadecuado de recursos compartidos en productos basados en Zen 2. Esto podría permitir la escalada de privilegios. Estos parches se suman a las 127 fallas de seguridad abordadas por **Google** en **Chromium**, que sustenta el navegador **Edge** de **Microsoft**. ### Vulnerabilidad Crítica de DNS en Windows Una de las vulnerabilidades más graves es **CVE-2026-41096** (puntaje CVSS: 9.8), un desbordamiento de búfer basado en heap en Windows DNS. Un atacante podría explotar esto enviando una respuesta DNS especialmente diseñada, lo que llevaría a la ejecución remota de código sin autenticación. "Un atacante podría explotar esta vulnerabilidad enviando una respuesta DNS especialmente diseñada a un sistema Windows vulnerable, haciendo que el cliente DNS procese incorrectamente la respuesta y corrompa la memoria", declaró **Microsoft**. "En ciertas configuraciones, esto podría permitir al atacante ejecutar código de forma remota en el sistema afectado sin autenticación". ### Otras Vulnerabilidades Notables **Microsoft** también abordó varias otras vulnerabilidades críticas e importantes, que incluyen: * **CVE-2026-42826** (puntaje CVSS: 10.0) - Divulgación de información en Azure DevOps. * **CVE-2026-33109** (puntaje CVSS: 9.9) - Control de acceso inadecuado en Azure Managed Instance para Apache Cassandra. * **CVE-2026-42898** (puntaje CVSS: 9.9) - Inyección de código en Microsoft Dynamics 365 (on-premises). * **CVE-2026-42823** (puntaje CVSS: 9.9) - Control de acceso inadecuado en Azure Logic Apps. * **CVE-2026-41089** (puntaje CVSS: 9.8) - Desbordamiento de búfer basado en pila en Windows Netlogon. * **CVE-2026-33823** (puntaje CVSS: 9.6) - Autorización inadecuada en Microsoft Teams. * **CVE-2026-35428** (puntaje CVSS: 9.6) - Inyección de comandos en Azure Cloud Shell. * **CVE-2026-40379** (puntaje CVSS: 9.3) - Exposición de información en Azure Entra ID. * **CVE-2026-40402** (puntaje CVSS: 9.3) - Uso después de liberación en Windows Hyper-V. * **CVE-2026-41103** (puntaje CVSS: 9.1) - Autenticación incorrecta en el plugin SSO de Microsoft para Jira y Confluence. * **CVE-2026-33117** (puntaje CVSS: 9.1) - Autenticación inadecuada en Azure SDK. * **CVE-2026-42833** (puntaje CVSS: 9.1) - Ejecución con privilegios innecesarios en Microsoft Dynamics 365 (on-premises). * **CVE-2026-33844** (puntaje CVSS: 9.0) - Validación de entrada inadecuada en Azure Managed Instance para Apache Cassandra. * **CVE-2026-40361** (puntaje CVSS: 8.4) - Uso después de liberación en Microsoft Office Word. * **CVE-2026-40364** (puntaje CVSS: 8.4) - Confusión de tipos en Microsoft Office Word. Adam Barnett de **Rapid7** destacó **CVE-2026-41103**, señalando su potencial para la suplantación de identidad de usuarios no autorizados y la omisión de Entra ID. Jack Bicer de **Action1** describió **CVE-2026-42898** como crítica, permitiendo a atacantes autenticados con bajos privilegios ejecutar código arbitrario a través de Dynamics CRM. Enfatizó el grave riesgo empresarial debido al posible compromiso de registros de clientes, flujos de trabajo y sistemas empresariales integrados. ### Recordatorio de Actualización del Certificado de Arranque Seguro Se recuerda a las organizaciones que actualicen los certificados de Arranque Seguro de Windows a las versiones de 2023 antes de que los certificados de 2011 expiren el próximo mes. Este cambio se anunció inicialmente en noviembre de 2025. Rain Baker de Nightwing enfatizó la criticidad de esta actualización, advirtiendo sobre "fallas catastróficas de seguridad a nivel de arranque" para los dispositivos que no se actualicen antes de la fecha límite del 26 de junio de 2026. ### Más de 500 CVEs en lo que va de 2026 Según Satnam Narang de **Tenable**, **Microsoft** ya ha parcheado más de 500 CVEs en los primeros cinco meses de 2026, lo que resalta la creciente complejidad y el volumen de vulnerabilidades en el software moderno.