El martes 9 de junio de 2026 ha pasado a la historia como el Patch Tuesday más abultado de Microsoft, con 208 vulnerabilidades corregidas, 38 de ellas clasificadas como críticas y tres zero-days con código de explotación público. En total, sumando los parches de Adobe, la cifra asciende a 331 CVEs, y si se incluyen los fallos de Chromium y terceros, se alcanzan los 571. El anterior récord, de 177 CVEs, ha sido pulverizado.
Lo más grave: un HTTP.sys RCE que no afecta a todos
La vulnerabilidad más destacada del lote es la CVE-2026-47291, un fallo de ejecución remota de código en HTTP.sys con una puntuación CVSS de 9.8. Afecta al motor web de Microsoft IIS y permite a un atacante remoto no autenticado ejecutar código en el kernel del sistema. Sin embargo, hay un matiz importante: solo los sistemas que tengan modificado el valor del registro MaxRequestBytes son vulnerables. Microsoft recomienda verificar la configuración del registro o utilizar el script PowerShell proporcionado en el boletín.
Zero-days activamente explotados
Se han confirmado tres zero-days con código de explotación público:
- CVE-2026-49160 — Denegación de servicio en HTTP.sys, reportado por el modelo Codex de OpenAI.
- CVE-2026-45586 («GreenPlasma») — Elevación de privilegios en Windows Collaborative Translation Framework.
- CVE-2026-50507 («YellowKey») — Bypass de seguridad en BitLocker que permite acceder a datos cifrados con acceso físico.
Estos dos últimos han sido divulgados por un investigador autodenominado Nightmare Eclipse, que afirma ser un exempleado de Microsoft. Además, ha prometido una filtración masiva de zero-days para el 14 de julio, coincidiendo con el próximo Patch Tuesday. La compañía ha optado por no acreditar al investigador en sus boletines.
Un gusano en el kernel de Windows
La CVE-2026-45657 es otra vulnerabilidad crítica con CVSS 9.8 que afecta al stack TCP/IP del kernel de Windows. Permite ejecución remota de código a nivel de SYSTEM sin interacción del usuario, lo que la convierte en potencialmente wormable. Aunque Microsoft la ha clasificado como «explotación menos probable», los expertos en seguridad anticipan que será sometida a ingeniería inversa intensiva.
Adobe también pulveriza récords
Adobe no se ha quedado atrás: 123 CVEs en 11 boletines, incluyendo dos vulnerabilidades con CVSS 10.0 en Adobe Campaign Classic —algo que Dustin Childs, de Zero Day Initiative, califica como «prácticamente un unicornio»— y 7 fallos críticos en ColdFusion con CVSS 9.6 que requieren atención prioritaria. Adobe Experience Manager suma 57 CVEs adicionales, aunque en su mayoría son de tipo XSS.
El impacto de la IA en el descubrimiento de vulnerabilidades
Microsoft ha confirmado que tanto sus ingenieros como la comunidad de seguridad están utilizando cada vez más herramientas de inteligencia artificial para encontrar fallos. Satnam Narang, de Tenable, señala: «La caja de Pandora está abierta. A medida que los modelos de IA sean más avanzados, esperamos que esta tendencia continúe al alza en todos los ámbitos, no solo en Patch Tuesday». Según algunas encuestas, el 90% de los profesionales de seguridad ya utilizan IA en su trabajo.
Qué hacer
Para administradores de sistemas, la prioridad es clara: aplicar los parches de junio cuanto antes, prestando especial atención al HTTP.sys RCE (CVE-2026-47291) y al fallo wormable en TCP/IP (CVE-2026-45657). Los parches de Adobe Campaign Classic y ColdFusion también deben ser tratados como críticos. Y no olvidemos reiniciar los navegadores, ya que Chrome ha corregido 429 vulnerabilidades en lo que va de mes.
Artículo publicado el jueves, 11 de junio de 2026 | Fuentes: Krebs on Security, Zero Day Initiative, SANS Internet Storm Center, Automox, Splashtop
