{"id":7534,"date":"2026-06-11T00:20:02","date_gmt":"2026-06-10T22:20:02","guid":{"rendered":"https:\/\/syf.es\/?p=7534"},"modified":"2026-06-13T15:24:44","modified_gmt":"2026-06-13T13:24:44","slug":"record-de-parches-en-junio-de-2026-microsoft-corrige-208-vulnerabilidades-con-tres-zero-days-y-un-http-sys-rce-critico","status":"publish","type":"post","link":"https:\/\/syf.es\/?p=7534","title":{"rendered":"R\u00e9cord de parches en junio de 2026: Microsoft corrige 208 vulnerabilidades con tres zero-days y un HTTP.sys RCE cr\u00edtico"},"content":{"rendered":"

\"R\u00e9cord<\/p>\n

El martes 9 de junio de 2026 ha pasado a la historia como el Patch Tuesday m\u00e1s abultado de Microsoft, con 208 vulnerabilidades corregidas, 38 de ellas clasificadas como cr\u00edticas y tres zero-days con c\u00f3digo de explotaci\u00f3n p\u00fablico. En total, sumando los parches de Adobe, la cifra asciende a 331 CVEs, y si se incluyen los fallos de Chromium y terceros, se alcanzan los 571. El anterior r\u00e9cord, de 177 CVEs, ha sido pulverizado.<\/p>\n

Lo m\u00e1s grave: un HTTP.sys RCE que no afecta a todos<\/h2>\n

La vulnerabilidad m\u00e1s destacada del lote es la CVE-2026-47291<\/strong>, un fallo de ejecuci\u00f3n remota de c\u00f3digo en HTTP.sys con una puntuaci\u00f3n CVSS de 9.8. Afecta al motor web de Microsoft IIS y permite a un atacante remoto no autenticado ejecutar c\u00f3digo en el kernel del sistema. Sin embargo, hay un matiz importante: solo los sistemas que tengan modificado el valor del registro MaxRequestBytes<\/code> son vulnerables. Microsoft recomienda verificar la configuraci\u00f3n del registro o utilizar el script PowerShell proporcionado en el bolet\u00edn.<\/p>\n

Zero-days activamente explotados<\/h2>\n

Se han confirmado tres zero-days con c\u00f3digo de explotaci\u00f3n p\u00fablico:<\/p>\n

    \n
  • CVE-2026-49160<\/strong> \u2014 Denegaci\u00f3n de servicio en HTTP.sys, reportado por el modelo Codex de OpenAI.<\/li>\n
  • CVE-2026-45586 (\u00abGreenPlasma\u00bb)<\/strong> \u2014 Elevaci\u00f3n de privilegios en Windows Collaborative Translation Framework.<\/li>\n
  • CVE-2026-50507 (\u00abYellowKey\u00bb)<\/strong> \u2014 Bypass de seguridad en BitLocker que permite acceder a datos cifrados con acceso f\u00edsico.<\/li>\n<\/ul>\n

    Estos dos \u00faltimos han sido divulgados por un investigador autodenominado Nightmare Eclipse<\/strong>, que afirma ser un exempleado de Microsoft. Adem\u00e1s, ha prometido una filtraci\u00f3n masiva de zero-days para el 14 de julio, coincidiendo con el pr\u00f3ximo Patch Tuesday. La compa\u00f1\u00eda ha optado por no acreditar al investigador en sus boletines.<\/p>\n

    Un gusano en el kernel de Windows<\/h2>\n

    La CVE-2026-45657<\/strong> es otra vulnerabilidad cr\u00edtica con CVSS 9.8 que afecta al stack TCP\/IP del kernel de Windows. Permite ejecuci\u00f3n remota de c\u00f3digo a nivel de SYSTEM sin interacci\u00f3n del usuario, lo que la convierte en potencialmente wormable<\/strong>. Aunque Microsoft la ha clasificado como \u00abexplotaci\u00f3n menos probable\u00bb, los expertos en seguridad anticipan que ser\u00e1 sometida a ingenier\u00eda inversa intensiva.<\/p>\n

    Adobe tambi\u00e9n pulveriza r\u00e9cords<\/h2>\n

    Adobe no se ha quedado atr\u00e1s: 123 CVEs en 11 boletines, incluyendo dos vulnerabilidades con CVSS 10.0<\/strong> en Adobe Campaign Classic \u2014algo que Dustin Childs, de Zero Day Initiative, califica como \u00abpr\u00e1cticamente un unicornio\u00bb\u2014 y 7 fallos cr\u00edticos en ColdFusion con CVSS 9.6 que requieren atenci\u00f3n prioritaria. Adobe Experience Manager suma 57 CVEs adicionales, aunque en su mayor\u00eda son de tipo XSS.<\/p>\n

    El impacto de la IA en el descubrimiento de vulnerabilidades<\/h2>\n

    Microsoft ha confirmado que tanto sus ingenieros como la comunidad de seguridad est\u00e1n utilizando cada vez m\u00e1s herramientas de inteligencia artificial para encontrar fallos. Satnam Narang, de Tenable, se\u00f1ala: \u00abLa caja de Pandora est\u00e1 abierta. A medida que los modelos de IA sean m\u00e1s avanzados, esperamos que esta tendencia contin\u00fae al alza en todos los \u00e1mbitos, no solo en Patch Tuesday\u00bb. Seg\u00fan algunas encuestas, el 90% de los profesionales de seguridad ya utilizan IA en su trabajo.<\/p>\n

    Qu\u00e9 hacer<\/h2>\n

    Para administradores de sistemas, la prioridad es clara: aplicar los parches de junio cuanto antes<\/strong>, prestando especial atenci\u00f3n al HTTP.sys RCE (CVE-2026-47291) y al fallo wormable en TCP\/IP (CVE-2026-45657). Los parches de Adobe Campaign Classic y ColdFusion tambi\u00e9n deben ser tratados como cr\u00edticos. Y no olvidemos reiniciar los navegadores, ya que Chrome ha corregido 429 vulnerabilidades en lo que va de mes.<\/p>\n

    Art\u00edculo publicado el jueves, 11 de junio de 2026 | Fuentes: Krebs on Security, Zero Day Initiative, SANS Internet Storm Center, Automox, Splashtop<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

    El martes 9 de junio de 2026 ha pasado a la historia como el Patch Tuesday m\u00e1s abultado de Microsoft, con 208 vulnerabilidades corregidas, 38 de ellas clasificadas como cr\u00edticas y tres zero-days con c\u00f3digo de explotaci\u00f3n p\u00fablico. En total, sumando los parches de Adobe, la cifra asciende a 331 CVEs, y si se incluyen<\/p>\n","protected":false},"author":1,"featured_media":7577,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[90,86],"tags":[],"class_list":["post-7534","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","category-software-cloud"],"_links":{"self":[{"href":"https:\/\/syf.es\/index.php?rest_route=\/wp\/v2\/posts\/7534","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/syf.es\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/syf.es\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/syf.es\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/syf.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7534"}],"version-history":[{"count":1,"href":"https:\/\/syf.es\/index.php?rest_route=\/wp\/v2\/posts\/7534\/revisions"}],"predecessor-version":[{"id":7605,"href":"https:\/\/syf.es\/index.php?rest_route=\/wp\/v2\/posts\/7534\/revisions\/7605"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/syf.es\/index.php?rest_route=\/wp\/v2\/media\/7577"}],"wp:attachment":[{"href":"https:\/\/syf.es\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7534"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/syf.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7534"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/syf.es\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7534"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}