Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de seguridad de Microsoft: junio de 2026

Fecha de publicación 10/06/2026
Identificador
INCIBE-2026-410
Recursos Afectados
  • .NET
  • ASP.NET Core
  • Active Directory Domain Services
  • Azure HorizonDB
  • Azure Stack Edge
  • Copilot Chat (Microsoft Edge)
  • Function Discovery Service (fdwsd.dll)
  • GitHub Copilot and Visual Studio Code
  • HTTP/2
  • Linux MANA Driver
  • M365 Copilot
  • Microsoft Azure Attestation service and Device Health Attestation Service
  • Microsoft Azure Kubernetes Service
  • Microsoft Bing
  • Microsoft Copilot
  • Microsoft Defender for Endpoint
  • Microsoft Dynamics 365 (on-premises)
  • Microsoft Exchange Online
  • Microsoft Exchange Server
  • Microsoft Graph
  • Microsoft Graphics Component
  • Microsoft Kinect
  • Microsoft Live Share Canvas SDK
  • Microsoft Office
  • Microsoft Office Click-To-Run
  • Microsoft Office Excel
  • Microsoft Office Project
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft PC Manager
  • Microsoft PowerToys
  • Microsoft Teams for Android
  • Microsoft UxTheme Library (uxtheme.dll)
  • Microsoft Windows DNS
  • Nuance PowerScribe
  • Office for Android
  • Remote Desktop Client
  • Role: Windows Hyper-V
  • UI Automation Manager (uiamanager.dll)
  • Universal Plug and Play (upnp.dll)
  • Visual Studio Code
  • Windows Administrator Protection
  • Windows Ancillary Function Driver for WinSock
  • Windows Application Identity (AppID) Subsystem
  • Windows BitLocker
  • Windows Bluetooth Port Driver
  • Windows Bluetooth Service
  • Windows Boot Manager
  • Windows Collaborative Translation Framework
  • Windows Common Log File System Driver
  • Windows Cryptographic Services
  • Windows DHCP Client
  • Windows DHCP Server
  • Windows DWM Core Library
  • Windows Deployment Services
  • Windows HTTP.sys
  • Windows Hotpatch Monitoring Service
  • Windows Hyper-V
  • Windows Internet (wininet.dll)
  • Windows Kerberos
  • Windows Kernel
  • Windows Kernel-Mode Drivers
  • Windows Mark of the Web (MOTW)
  • Windows Media
  • Windows NT OS Kernel
  • Windows NTFS
  • Windows NTLM
  • Windows Narrator Braille
  • Windows Network Controller (NC) Host Agent
  • Windows Performance Monitor
  • Windows Program Compatibility Assistant Service
  • Windows Projected File System Filter Driver
  • Windows Push Notifications
  • Windows RDP
  • Windows SDK
  • Windows Secure Boot
  • Windows Shell
  • Windows Storage
  • Windows TCP/IP
  • Windows Telephony Service
  • Windows UEFI
  • Windows Universal Disk Format File System Driver (UDFS)
  • Windows Win32K - GRFX
  • Winlogon
Descripción

Microsoft ha publicado su boletín mensual de seguridad en el que se incluyen 206 vulnerabilidades: 10 de severidad crítica, 135 de severidad alta, 54 de severidad medias y 5 bajas. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante ejecución remota de código o revelación de información.

Solución

Actualizar a la última versión disponible indicada por el fabricante.

Detalle

Las vulnerabilidades de severidad crítica se describen a continuación:

  • CVE-2026-26142: la deserialización de datos no confiables en Nuance PowerScribe podría permitir que un atacante no autorizado ejecute código a través de una red.
  • CVE-2026-42904: el desbordamiento de búfer basado en el montículo en Windows TCP/IP permite que un atacante no autorizado eleve sus privilegios sobre una red adyacente.
  • CVE-2026-44815: un desbordamiento de búfer basado en pila en el cliente DHCP de Windows permite que un atacante no autorizado ejecute código a través de una red.
  • CVE-2026-45602: no existe ninguna solución para este problema en el servidor DHCP de Windows que permita a un atacante no autorizado manipular una red.
  • CVE-2026-45657: el uso de código liberado en el kernel de Windows permite que un atacante no autorizado ejecute código a través de una red.
  • CVE-2026-47281: una validación de entrada incorrecta en Visual Studio Code permite que un atacante no autorizado eleve sus privilegios en una red.
  • CVE-2026-47291: el desbordamiento de enteros o el ajuste automático de valores en el archivo HTTP.sys de Windows permite que un atacante no autorizado ejecute código a través de una red.
  • CVE-2026-47643: el control externo del nombre o la ruta de archivo en Azure Stack Edge permite que un atacante no autorizado ejecute código a través de una red.
  • CVE-2026-48567: la elusión de la autenticación mediante suplantación de identidad en Azure HorizonDB permite a un atacante no autorizado elevar sus privilegios en una red.
  • CVE-2026-48579: una autorización incorrecta en Microsoft Exchange Online permite que un atacante no autorizado divulgue información a través de una red.

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-26142 Crítica No Microsoft
CVE-2026-42904 Crítica No Microsoft
CVE-2026-44815 Crítica No Microsoft
CVE-2026-45602 Crítica No Microsoft
CVE-2026-45657 Crítica No Microsoft
CVE-2026-47281 Crítica No Microsoft
CVE-2026-47291 Crítica No Microsoft
CVE-2026-47643 Crítica No Microsoft
CVE-2026-48567 Crítica No Microsoft
CVE-2026-48579 Crítica No Microsoft
Listado de referencias
June 2026 Security Updates
Etiquetas