Publicado el

Vulnerabilidad crítica en Microsoft 365 Copilot

 
 
Se ha identificado una vulnerabilidad de seguridad crítica en Microsoft 365 Copilot, registrada como CVE-2026-24307, que podría permitir a un atacante no autorizado divulgar información sensible a través de la red debido a una validación incorrecta del tipo de entrada de datos. Esta vulnerabilidad forma parte de las divulgaciones de seguridad recientes del proveedor, y representa un riesgo significativo para los entornos corporativos que utilizan Copilot.
 
Análisis
CVE-2026-24307 permite que un atacante con acceso a la red envíe una solicitud diseñada para explotar una falla en la validación de entradas de Copilot. Si la petición es procesada, el sistema podría devolver información interna o sensible. Así pues, se trata de un vector de divulgación de información donde los datos confidenciales del servicio pueden filtrarse sin comprometer directamente el control del sistema.
 
El ataque no requiere credenciales ni permisos especiales, sino que un actor remoto puede iniciar la explotación únicamente a través de la red, sin necesidad de acceso físico. Sin embargo, la explotación efectiva depende de cierta interacción del usuario, ya que el fallo solo se activa cuando Copilot procesa la entrada manipulada dentro de un flujo de interacción válido.
 
 
Recursos afectados
    • Microsoft 365 Copilot — versiones anteriores a las que contienen los parches de seguridad correspondientes.
  •  
Recomendaciones
      • Consultar la guía de actualizaciones de seguridad de Microsoft y confirmar que los parches correspondientes a CVE-2026-24307 estén aplicados en su tenant/instancia.
      • Evaluar restricciones y permisos de acceso a datos sensibles en Copilot para minimizar la exposición.
Referencias
    • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24307
    • https://www.cvedetails.com/cve/CVE-2026-24307/
    • https://www.ccn-cert.cni.es/ca/seguretat-al-dia/vulnerabilitats/view/47684.html

 

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)

Publicado el

Actualización de Google Chrome 145 – 11 vulnerabilidades corregidas


El 13 de febrero de 2026 Google publicó la versión estable de Chrome 145, que soluciona 11 vulnerabilidades de seguridad, entre las cuales se incluyen tres defectos de alta severidad que podrían permitir ejecución remota de código o acciones no autorizadas si no se actualiza a la brevedad.
Análisis
La actualización de Chrome 145 aborda defectos que afectan múltiples subsistemas del navegador:

Alta severidad (3):

    • CVE-2026-2313: problema use-after-free en el motor CSS (riesgo de ejecución de código).
    • CVE-2026-2314: heap buffer overflow en el componente de Codecs.
    • CVE-2026-2315: implementación inapropiada en WebGPU.

Severidad media (6): fallos de política, condiciones de carrera o implementaciones incorrectas en Frames, Animación, Picture-In-Picture, entrada de archivos, Ozone y DevTools.

Baja severidad (2): defectos en entrada de archivos y descargas.
Aunque Google no reporta explotación activa de estas fallas en el momento de la publicación, la naturaleza de estos bugs (especialmente los de alta severidad) representa un riesgo significativo si no se parchea rápidamente.

Recursos afectados
    • Google Chrome 145.0.7632.45 para Linux, Windows y Mac
    • Google Chrome 145.0.7632.46 para Windows y Mac
Recomendaciones
      • Actualizar inmediatamente todos los navegadores Google Chrome a la versión 145.0.7632.45/46 o superior disponible a través de los canales oficiales.
      • Verificar la implantación de actualizaciones automatizadas para asegurar que las versiones vulnerables no sigan en uso.
      • Informar a los usuarios finales sobre la importancia de cerrar y reiniciar el navegador tras actualizar, para asegurar que la nueva versión quede activa.
Referencias
    • https://www.securityweek.com/chrome-145-patches-11-vulnerabilities/
    • Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271).

Publicado el

Parche – Microsoft

 
Microsoft ha publicado recientemente sus actualizaciones de seguridad correspondientes a febrero de 2026, corrigiendo un total de 58 vulnerabilidades que afectan a distintos componentes del sistema operativo Windows y otros productos.
Entre las vulnerabilidades corregidas se incluyen fallos de ejecución remota de código (RCE), elevación de privilegios, bypass de funciones de seguridad, divulgación de información y denegación de servicio (DoS).
Este tipo de vulnerabilidades supone un riesgo relevante en entornos corporativos, especialmente en estaciones de trabajo y servidores Windows, donde una explotación exitosa podría comprometer la confidencialidad, integridad y disponibilidad de los sistemas.
Análisis
En esta actualización Microsoft ha corregido un total de 58 vulnerabilidades, distribuidas del siguiente modo:
    • 25 de elevación de privilegios
    • 12 de ejecución remota de código (RCE)
    • 6 de divulgación de información
    • 7 de spoofing
    • 5 bypass de funciones de seguridad
    • 3 de denegación de servicio (DoS)
De especial relevancia, se han corregido 6 vulnerabilidades zero-day que se encuentran activamente explotadas. Tres de ellas, además, estaban divulgadas públicamente:
    • CVE-2026-21510 (Windows Shell): permite saltarse SmartScreen/MoTW mediante enlaces o accesos directos maliciosos.
    • CVE-2026-21513 (MSHTML): bypass de seguridad sin detalles técnicos publicados.
    • CVE-2026-21514 (Microsoft Word): un documento malicioso puede evadir mitigaciones OLE.
    • CVE-2026-21519 (Desktop Window Manager): permite escalada a privilegios SYSTEM.
    • CVE-2026-21525 (Remote Access Connection Manager): DoS local, detectado en malware público.
    • CVE-2026-21533 (Remote Desktop Services): permite elevar privilegios y añadir usuarios al grupo Administradores.
Adicionalmente, Microsoft ha anunciado una actualización importante relacionada con Secure Boot, iniciando el despliegue gradual de nuevos certificados para sustituir los certificados de 2011, que expiran en junio de 2026. Este despliegue se aplicará progresivamente según señales de actualización correctas.
Recursos afectados
    • Sistemas Windows (estaciones de trabajo y servidores).
    • Infraestructuras con servicios habilitados como Remote Desktop Services.
    • Equipos con Microsoft Office (especialmente Word).
    • Sistemas que dependan de Secure Boot.
Recomendaciones
      • Revisar si los sistemas Windows de la organización están actualizados con los parches de febrero 2026.
      • Priorizar la actualización en equipos expuestos a red, servidores críticos y equipos de usuarios con acceso a información sensible.
      • Aplicar las actualizaciones de Microsoft siguiendo los procedimientos corporativos establecidos.
      • Revisar especialmente entornos con RDP habilitado y estaciones de trabajo que reciban documentos externos.
      • Monitorizar los sistemas tras la actualización para detectar comportamientos anómalos.
      • Tener en cuenta el despliegue progresivo de los nuevos certificados de Secure Boot y validar su compatibilidad en entornos críticos.
Referencias
 
    • Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271).

Publicado el

Parche – Adobe

 
Adobe ha publicado recientemente su actualización de seguridad de febrero de 2026, corrigiendo un total de 44 vulnerabilidades detectadas por investigadores externos.
Algunas de estas vulnerabilidades han sido clasificadas como críticas, ya que podrían permitir a un atacante la ejecución arbitraria de código, además de otros impactos como exposición de memoria o denegación de servicio (DoS).
Este tipo de vulnerabilidades supone un riesgo relevante en entornos corporativos, especialmente en estaciones de trabajo donde se utilicen herramientas Adobe para producción, edición o tratamiento de contenidos, ya que una explotación exitosa podría comprometer la integridad y disponibilidad de los equipos.

 

Análisis
Las correcciones publicadas por Adobe afectan a múltiples productos, incluyendo:
    • Adobe Audition
    • Adobe After Effects
    • Adobe InDesign Desktop
    • Adobe Bridge
    • Adobe Lightroom Classic
    • Adobe DNG SDK
    • Substance 3D Designer
    • Substance 3D Stager
    • Substance 3D Modeler
Más de la mitad de las vulnerabilidades corregidas (más de dos docenas) podrían permitir ejecución arbitraria de código, motivo por el cual han sido consideradas críticas por Adobe. No obstante, el conjunto de vulnerabilidades se clasifica como de alto riesgo según CVSS.
El resto de vulnerabilidades corregidas corresponden a fallos de:
    • Exposición de memoria
    • Denegación de servicio (DoS)
Estas se consideran de severidad “importante” (equivalente a severidad media en CVSS).
Adobe indica que no existe evidencia de explotación activa de estas vulnerabilidades en el mundo real. Además, todas han sido asignadas con prioridad 3, lo que sugiere un riesgo bajo de explotación inminente.
La mayoría de los fallos fueron reportados por los investigadores conocidos como “Yjdfy” “Voidexploit”.
 
Recursos afectados
Infraestructuras y estaciones de trabajo que utilicen alguno de los productos Adobe incluidos en la actualización de febrero de 2026, especialmente:

 

    • Adobe Audition
    • Adobe After Effects
    • Adobe InDesign Desktop
    • Adobe Bridge
    • Adobe Lightroom Classic
    • Adobe DNG SDK
    • Adobe Substance 3D (Designer, Stager, Modeler)
Adicionalmente, se recomienda revisar el impacto en productos Adobe de uso común en la organización, como:
    • Adobe Acrobat
    • Adobe Reader
    • Adobe Flash Player
    • Adobe Type Manager Library
Recomendaciones
    • Revisar si los productos afectados de Adobe se encuentran instalados en la organización.
    • Aplicar las actualizaciones y parches de seguridad publicados por Adobe siguiendo sus guías oficiales.
    • Priorizar la actualización en estaciones de trabajo de usuarios con mayor exposición (equipos de diseño, comunicación, marketing, etc.).
    • Monitorizar los sistemas tras la actualización para detectar comportamientos anómalos o interrupciones del servicio.
    • Mantener un inventario actualizado de software instalado para facilitar la identificación de impactos ante futuros avisos de seguridad.
Referencias
https://www.securityweek.com/patch-tuesday-adobe-fixes-44-vulnerabilities-in-creative-apps/
 
    • Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271).