Tres nuevos avisos de seguridad
Índice
- Actualizaciones de seguridad de Microsoft de abril de 2026
- Múltiples vulnerabilidades en FortiSandbox
- Múltiples vulnerabilidades en Identity Exposure de Tenable
Actualizaciones de seguridad de Microsoft de abril de 2026
- .NET
- .NET Framework
- .NET and Visual Studio
- .NET, .NET Framework, Visual Studio
- Applocker Filter Driver (applockerfltr.sys)
- Azure Logic Apps
- Azure Monitor Agent
- Desktop Window Manager
- Function Discovery Service (fdwsd.dll)
- GitHub Copilot and Visual Studio Code
- Microsoft Brokering File System
- Microsoft Defender
- Microsoft Dynamics 365 (on-premises)
- Microsoft Edge (Chromium-based)
- Microsoft Graphics Component
- Microsoft High Performance Compute Pack (HPC)
- Microsoft Management Console
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office PowerPoint
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Power Apps
- Microsoft PowerShell
- Microsoft Windows
- Microsoft Windows Search Component
- Microsoft Windows Speech
- Remote Desktop Client
- Role: Windows Hyper-V
- SQL Server
- Universal Plug and Play (upnp.dll)
- Windows Active Directory
- Windows Admin Center
- Windows Advanced Rasterization Platform
- Windows Ancillary Function Driver for WinSock
- Windows Biometric Service
- Windows BitLocker
- Windows Boot Loader
- Windows Boot Manager
- Windows COM
- Windows Client Side Caching driver (csc.sys)
- Windows Cloud Files Mini Filter Driver
- Windows Common Log File System Driver
- Windows Container Isolation FS Filter Driver
- Windows Cryptographic Services
- Windows Encrypting File System (EFS)
- Windows File Explorer
- Windows GDI
- Windows HTTP.sys
- Windows Hello
- Windows IKE Extension
- Windows Installer
- Windows Kerberos
- Windows Kernel
- Windows Kernel Memory
- Windows LUAFV
- Windows Local Security Authority Subsystem Service (LSASS)
- Windows Management Services
- Windows OLE
- Windows Print Spooler Components
- Windows Projected File System
- Windows Push Notifications
- Windows RPC API
- Windows Recovery Environment Agent
- Windows Redirected Drive Buffering
- Windows Remote Desktop
- Windows Remote Desktop Licensing Service
- Windows Remote Procedure Call
- Windows SSDP Service
- Windows Sensor Data Service
- Windows Server Update Service
- Windows Shell
- Windows Snipping Tool
- Windows Speech Brokered Api
- Windows Storage Spaces Controller
- Windows TCP/IP
- Windows TDI Translation Driver (tdx.sys)
- Windows USB Print Driver
- Windows Universal Plug and Play (UPnP) Device Host
- Windows User Interface Core
- Windows Virtualization-Based Security (VBS) Enclave
- Windows WFP NDIS Lightweight Filter Driver (wfplwfs.sys)
- Windows WalletService
- Windows Win32K - GRFX
- Windows Win32K - ICOMP
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 14 de abril, consta de 165 vulnerabilidades (con CVE asignado), calificadas 2 como críticas, 123 como altas y 40 como medias.
Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
Las vulnerabilidades publicadas de severidad crítica o siendo explotadas tienen asignados los siguientes identificadores y descripciones:
- CVE-2026-26149: Omisión de Característica de Seguridad en Microsoft Power Apps
- CVE-2026-32201: Vulnerabilidad de Suplantación en Microsoft SharePoint Server (Está siendo explotada)
- CVE-2026-33824: Vulnerabilidad de ejecución remota de código en Windows Internet Key Exchange (IKE) Service Extensions
La actualización también corrige la vulnerabilidad CVE-2026-33825, un problema de escalada de privilegios en Microsoft Defender cuyo código de explotación estaba expuesto en Internet.
Los códigos CVE asignados a las otras 163 vulnerabilidades reportadas pueden consultarse en las referencias.
Múltiples vulnerabilidades en FortiSandbox
- FortiSandbox 4.4, desde la versión 4.4.0 hasta la 4.4.8.
Solo para la vulnerabilidad CVE-2026-39813 también se ve afectado:
- FortiSandbox 5.0, desde la versión 5.0.0 hasta la 5.0.5.
Samuel de Lucas Maroto de KPMG Spain y Loic Pantano de Fortinet PSIRT han descubierto 2 vulnerabilidades de severidad crítica que, en caso de ser explotadas, podrían permitir a un atacante ejecutar comandos no autorizados o evitar la autenticación en el sistema.
Según la versión inicial del producto, actualizarlo a:
- FortiSandbox 4.4.9;
- FortiSandbox 5.0.6.
- CVE-2026-39813: una vulnerabilidad de salto de directorio: '../filedir' puede permitir a un atacante no autenticado evitar la autenticación a través de solicitudes HTTP manipuladas.
- CVE-2026-39808: neutralización incorrecta de elementos especiales utilizados en un comando del Sistema Operativo (OS Command Injection) puede permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de una solicitud HTTP manipulada.
Múltiples vulnerabilidades en Identity Exposure de Tenable
- Tenable Identity Exposure, versión 3.77.16 y anteriores.
Tenable ha publicado un aviso donde informa de 19 vulnerabilidades, 1 de severidad crítica, 10 altas, 6 medias y 3 bajas. En caso de ser explotadas podrían permitir la lectura de ficheros sensibles, entre otras acciones.
Actualizar el producto a la versión 3.77.17.
La vulnerabilidad de severidad crítica es:
- CVE-2025-55130: un fallo en el modelo de permisos de Node.js permite a los atacantes evitar las restricciones '--allow-fs-read' y '--allow-fs-write' utilizando rutas manipuladas de enlaces simbólicos. Al encadenar directorios y enlaces simbólicos, un script que tenga autorizado el acceso únicamente al directorio actual puede escapar de la ruta autorizada y leer ficheros sensibles. Esto incumple las garantías esperadas de aislamiento y permite la lectura/escritura arbitraria de ficheros, lo que potencialmente deriva en un compromiso del sistema.
El resto de vulnerabilidades se pueden consultar en el enlace de las referencias.