BRIEFING DE SEGURIDAD · 15.07.2026 DEENFRES

Práctica e Implementación

Bypass de JWT en SharePoint abre sitios locales

Por Alec Chizhik · 15 de julio de 2026 · 5 min de lectura

7 Min. lectura

CVE-2026-55040 permite que atacantes no autenticados se hagan pasar por usuarios de SharePoint. Rapid7 informa un CVSS 9.1. El bypass de autenticación rompe la cadena antes de que la componente planificada de RCE se implemente en agosto.

Lo más importante en resumen

  • Parchear primero la autenticación. CVE-2026-55040 es la entrada. Sin una sesión válida, la cadena de RCE descrita por Rapid7 se rompe.
  • La identidad basta. SID o UPN del usuario objetivo son suficientes como requisito para la suplantación de identidad.
  • Priorizar on-prem. Los servidores de SharePoint expuestos a Internet son el inventario urgente, no solo la lista de CVE.
  • Segundo Zero-Day en la mira. CVE-2026-56164 (SharePoint EoP) ya fue explotado según Microsoft. Revisar la mitigación de AMSI.

Relacionado:El proveedor más débil abre la instalación crítica  /  Un controlador firmado deja al protector de endpoints ciego

Qué vulnera CVE-2026-55040

¿Qué es el bypass de JSON Web Token (JWT) en SharePoint? CVE-2026-55040 es una vulnerabilidad en la validación de JSON Web Token (JWT) de Microsoft SharePoint. Un atacante remoto, no autenticado, puede eludir la autenticación y ejecutar operaciones como usuario del sitio o administrador, siempre que conozca la identidad objetivo.

Descubrió la vulnerabilidad Stephen Fewer de Rapid7 Labs dentro de un proyecto de investigación de día cero. La coordinación con Microsoft venía en marcha desde el 18 de mayo de 2026. El 14 de julio de 2026 se produjo la divulgación pública junto con el parche de julio.

9,1

CVSS v3.1 para CVE-2026-55040 (Critical)

Fuente: Rapid7 / FIRST-Rechner

La condición es precisa: el atacante debe conocer a la víctima, ya sea a través del SID de Active Directory o del UPN (usualmente similar a un correo electrónico). Posteriormente, puede asumir la identidad. Rapid7 describe la enumeración de SID más la toma de identidad hasta el administrador del sitio en la demostración de PoC.

Definición · JWT-Auth-Bypass

Un atacante elude la verificación del token y se hace pasar por un usuario conocido de SharePoint, sin conocer su contraseña.

¿Por qué el bypass de autenticación detiene la cadena RCE?

Rapid7 encadenó el bypass con una vulnerabilidad RCE separada para ejecución remota de código no autorizada. Microsoft planeó la parte de RCE para el ciclo de agosto. El parche de julio para CVE-2026-55040 ya interrumpe esta cadena. Los bypasses de autenticación no son problemas menores; abren la superficie de ataque autenticada por completo.

Paralelamente, el día de parches de julio aborda CVE-2026-56164, una vulnerabilidad de elevación de privilegios en SharePoint con explotación activa según Microsoft (CVSS 5.3, Moderado). Afecta a: SharePoint Server 2016, 2019 y Subscription Edition. Microsoft hace referencia a la integración de AMSI como detección adicional de solicitudes POST dañinas. Esto no reemplaza el parche, sino que lo complementa.

Prioridad para administradores DACH

Primero inventariar: ¿Qué servidores de SharePoint están on-premises y son accesibles desde Internet? Cada una de esas instancias es crítica. Después, comprobar el estado del parche contra las actualizaciones de julio. Documentar los builds. Tener un plan de reversión listo, pero no posponer la aplicación del parche.

Luego rastrear la identidad: actividades inusuales de administrador de sitio, nuevos webparts, cargas de archivos sospechosas, anomalías de tokens y autenticación en los registros. Quien solo marca CVE y ignora la exposición, pierde tiempo.

sharepoint on-premises ahora

  • julio-2026 actualizaciones de SharePoint y validar el estado de compilación
  • inventariar las instancias de SharePoint expuestas a Internet y eliminar la exposición
  • verificar la integración AMSI en SharePoint (mitigación de Microsoft para rutas EoP relacionadas)
  • examinar cuentas de administrador y sitio en busca de inicios de sesión y patrones de token inusuales
  • rastrear por separado el bypass de autenticación y la cadena de RCE: programar el parche de agosto para la componente RCE

Qué debe ser el paquete del consejo

On-Prem-SharePoint sigue siendo una superficie de ataque mientras las rutas de autenticación sean débiles y las instancias estén expuestas. CVE-2026-55040 muestra: las plataformas de colaboración son capas de gestión. Quien las parchea y las aísla de Internet rompe las cadenas. Quien espera paga más caro el componente de RCE de agosto.

Preguntas frecuentes

Cada pregunta está bloqueada. Un toque desbloquea la respuesta.

¿Se puede explotar CVE-2026-55040 de forma remota?

Sí. Rapid7 describe una ruta de ataque remota y no autenticada. Se requiere conocimiento de la identidad del objetivo (SID o UPN).

¿Es suficiente el parche de julio contra la cadena completa de ejecución remota de código (RCE)?

Desmonta la cadena descrita por Rapid7 en el Auth-Bypass. La componente de Ejecución Remota de Código (RCE) se unirá al ciclo de agosto. Parchear de inmediato, sin dilación.

¿Afecta a SharePoint Online?

La divulgación se centra en SharePoint Server y en la canalización de validación JWT de los productos servidor afectados. El alcance exacto del parche se proporciona en la entrada MSRC correspondiente a cada versión.

¿Cuál es la diferencia con CVE-2026-56164?

56164 corresponde a un EoP (exploit) que ya ha sido explotado en la naturaleza. 55040, por su parte, representa un bypass de autenticación JWT con una puntuación CVSS 9.1 y la posibilidad de encadenar una ejecución remota de código (RCE).

¿Qué mitigación cuenta además del parche?

Reducir la exposición a Internet, activar AMSI en SharePoint, supervisar cuentas de administrador y alarmar operaciones de sitio inusuales.

Selección de la redacción

RecomendadoUn control de punto final ciego debido a un controlador firmado

Más de la red MBF Media

cloudmagazinCuando las GPUs devoran el presupuesto de SaaSMyBusinessFutureCuándo realmente merece la pena un modelo de IA alemán

Lectura adicional

Práctica e Implementación · 15 de julio de 2026

Vulnerabilidad de BitLocker al acceso físico en 2026

CVE-2026-50661 elude BitLocker con acceso físico. CVSS 6.1, parche de julio, lista de verificación para portátiles, equipos y procesos de dispositivos perdidos.

Una revista de Evernine Media GmbH