{"id":22114,"date":"2026-07-15T11:39:55","date_gmt":"2026-07-15T11:39:55","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/07\/15\/bypass-jwt-sharepoint-sitios-locales\/"},"modified":"2026-07-15T13:15:56","modified_gmt":"2026-07-15T13:15:56","slug":"bypass-jwt-sharepoint-sitios-locales","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/07\/15\/bypass-jwt-sharepoint-sitios-locales\/","title":{"rendered":"Bypass de JWT en SharePoint abre sitios locales"},"content":{"rendered":"<p style=\"color:#69d8ed;font-weight:700;font-size:0.9em;letter-spacing:0.04em;margin:0 0 16px 0;\">7 Min. lectura<\/p>\n<p><strong>CVE-2026-55040 permite que atacantes no autenticados se hagan pasar por usuarios de SharePoint. Rapid7 informa un CVSS 9.1. El bypass de autenticaci\u00f3n rompe la cadena antes de que la componente planificada de RCE se implemente en agosto.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">Parchear primero la autenticaci\u00f3n.<\/strong> CVE-2026-55040 es la entrada. Sin una sesi\u00f3n v\u00e1lida, la cadena de RCE descrita por Rapid7 se rompe.<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">La identidad basta.<\/strong> SID o UPN del usuario objetivo son suficientes como requisito para la suplantaci\u00f3n de identidad.<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">Priorizar on-prem.<\/strong> Los servidores de SharePoint expuestos a Internet son el inventario urgente, no solo la lista de CVE.<\/li>\n<li style=\"\"><strong style=\"color:#69d8ed;\">Segundo Zero-Day en la mira.<\/strong> CVE-2026-56164 (SharePoint EoP) ya fue explotado seg\u00fan Microsoft. Revisar la mitigaci\u00f3n de AMSI.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#a8a59c;margin:20px 0 32px 0;border-top:1px solid rgba(105,216,237,0.18);border-bottom:1px solid rgba(105,216,237,0.18);padding:10px 0;\"><span style=\"font-family:monospace;color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Relacionado:<\/span><a href=\"https:\/\/www.securitytoday.de\/2026\/07\/11\/kritis-lieferkette-zulieferer-resilienz\/\" style=\"color:#e6e3da;text-decoration:underline;\">El proveedor m\u00e1s d\u00e9bil abre la instalaci\u00f3n cr\u00edtica<\/a>&nbsp;&nbsp;<span style=\"color:#555;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/es\/2026\/07\/11\/un-control-de-punto-final-ciego-debido-a-un-controlador-firmado\/\" style=\"color:#e6e3da;text-decoration:underline;\">Un controlador firmado deja al protector de endpoints ciego<\/a><\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Qu\u00e9 vulnera CVE-2026-55040<\/h2>\n<p><strong>\u00bfQu\u00e9 es el bypass de JSON Web Token (JWT) en SharePoint?<\/strong> CVE-2026-55040 es una vulnerabilidad en la validaci\u00f3n de JSON Web Token (JWT) de Microsoft SharePoint. Un atacante remoto, no autenticado, puede eludir la autenticaci\u00f3n y ejecutar operaciones como usuario del sitio o administrador, siempre que conozca la identidad objetivo.<\/p>\n<p>Descubri\u00f3 la vulnerabilidad Stephen Fewer de Rapid7 Labs dentro de un proyecto de investigaci\u00f3n de d\u00eda cero. La coordinaci\u00f3n con Microsoft ven\u00eda en marcha desde el 18 de mayo de 2026. El 14 de julio de 2026 se produjo la divulgaci\u00f3n p\u00fablica junto con el parche de julio.<\/p>\n<div data-element=\"key_number\" style=\"background:#003340;border:1px solid rgba(105,216,237,0.28);border-radius:10px;padding:28px 24px;margin:32px 0;text-align:center;\">\n<div style=\"font-size:2.6em;font-weight:800;color:#69d8ed;line-height:1.05;word-break:keep-all;\">9,1<\/div>\n<p style=\"margin:10px 0 0;font-size:0.92em;color:#e6e3da;\">CVSS v3.1 para CVE-2026-55040 (Critical)<\/p>\n<p style=\"margin:6px 0 0;font-size:0.78em;color:#8fa3ab;\">Fuente: Rapid7 \/ FIRST-Rechner<\/p>\n<\/div>\n<p>La condici\u00f3n es precisa: el atacante debe conocer a la v\u00edctima, ya sea a trav\u00e9s del SID de Active Directory o del UPN (usualmente similar a un correo electr\u00f3nico). Posteriormente, puede asumir la identidad. Rapid7 describe la enumeraci\u00f3n de SID m\u00e1s la toma de identidad hasta el administrador del sitio en la demostraci\u00f3n de PoC.<\/p>\n<div data-element=\"definition_box\" style=\"background:#23261f;border:1px solid rgba(105,216,237,0.22);border-radius:10px;padding:20px 24px;margin:32px 0;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 2px 10px rgba(0,0,0,0.22);\">\n<p style=\"margin:0 0 8px;font-family:'IBM Plex Mono',ui-monospace,SFMono-Regular,monospace;font-size:0.72em;letter-spacing:0.12em;text-transform:uppercase;color:#69d8ed;\">Definici\u00f3n &middot; JWT-Auth-Bypass<\/p>\n<p style=\"margin:0;color:#e6e3da;line-height:1.6;\">Un atacante elude la verificaci\u00f3n del token y se hace pasar por un usuario conocido de SharePoint, sin conocer su contrase\u00f1a.<\/p>\n<\/div>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">\u00bfPor qu\u00e9 el bypass de autenticaci\u00f3n detiene la cadena RCE?<\/h2>\n<p>Rapid7 encaden\u00f3 el bypass con una vulnerabilidad RCE separada para ejecuci\u00f3n remota de c\u00f3digo no autorizada. Microsoft plane\u00f3 la parte de RCE para el ciclo de agosto. El parche de julio para CVE-2026-55040 ya interrumpe esta cadena. Los bypasses de autenticaci\u00f3n no son problemas menores; abren la superficie de ataque autenticada por completo.<\/p>\n<p>Paralelamente, el d\u00eda de parches de julio aborda CVE-2026-56164, una vulnerabilidad de elevaci\u00f3n de privilegios en SharePoint con explotaci\u00f3n activa seg\u00fan Microsoft (CVSS 5.3, Moderado). Afecta a: SharePoint Server 2016, 2019 y Subscription Edition. Microsoft hace referencia a la integraci\u00f3n de AMSI como detecci\u00f3n adicional de solicitudes POST da\u00f1inas. Esto no reemplaza el parche, sino que lo complementa.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Prioridad para administradores DACH<\/h2>\n<p>Primero inventariar: \u00bfQu\u00e9 servidores de SharePoint est\u00e1n on-premises y son accesibles desde Internet? Cada una de esas instancias es cr\u00edtica. Despu\u00e9s, comprobar el estado del parche contra las actualizaciones de julio. Documentar los builds. Tener un plan de reversi\u00f3n listo, pero no posponer la aplicaci\u00f3n del parche.<\/p>\n<p>Luego rastrear la identidad: actividades inusuales de administrador de sitio, nuevos webparts, cargas de archivos sospechosas, anomal\u00edas de tokens y autenticaci\u00f3n en los registros. Quien solo marca CVE y ignora la exposici\u00f3n, pierde tiempo.<\/p>\n<div data-element=\"checklist\" style=\"background:#23261f;border:1px solid rgba(105,216,237,0.22);border-radius:10px;padding:22px 24px;margin:32px 0;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 2px 10px rgba(0,0,0,0.22);\">\n<p style=\"margin:0 0 12px;font-family:'IBM Plex Mono',ui-monospace,SFMono-Regular,monospace;font-size:0.72em;letter-spacing:0.12em;text-transform:uppercase;color:#69d8ed;\">sharepoint on-premises ahora<\/p>\n<ul style=\"margin:0;padding-left:0;list-style:none;\">\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>julio-2026 actualizaciones de SharePoint y validar el estado de compilaci\u00f3n<\/li>\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>inventariar las instancias de SharePoint expuestas a Internet y eliminar la exposici\u00f3n<\/li>\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>verificar la integraci\u00f3n AMSI en SharePoint (mitigaci\u00f3n de Microsoft para rutas EoP relacionadas)<\/li>\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>examinar cuentas de administrador y sitio en busca de inicios de sesi\u00f3n y patrones de token inusuales<\/li>\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>rastrear por separado el bypass de autenticaci\u00f3n y la cadena de RCE: programar el parche de agosto para la componente RCE<\/li>\n<\/ul>\n<\/div>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Qu\u00e9 debe ser el paquete del consejo<\/h2>\n<p>On-Prem-SharePoint sigue siendo una superficie de ataque mientras las rutas de autenticaci\u00f3n sean d\u00e9biles y las instancias est\u00e9n expuestas. CVE-2026-55040 muestra: las plataformas de colaboraci\u00f3n son capas de gesti\u00f3n. Quien las parchea y las a\u00edsla de Internet rompe las cadenas. Quien espera paga m\u00e1s caro el componente de RCE de agosto.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 bloqueada. Un toque desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfSe puede explotar CVE-2026-55040 de forma remota?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">S\u00ed. Rapid7 describe una ruta de ataque remota y no autenticada. Se requiere conocimiento de la identidad del objetivo (SID o UPN).<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfEs suficiente el parche de julio contra la cadena completa de ejecuci\u00f3n remota de c\u00f3digo (RCE)?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Desmonta la cadena descrita por Rapid7 en el Auth-Bypass. La componente de Ejecuci\u00f3n Remota de C\u00f3digo (RCE) se unir\u00e1 al ciclo de agosto. Parchear de inmediato, sin dilaci\u00f3n.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfAfecta a SharePoint Online?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">La divulgaci\u00f3n se centra en SharePoint Server y en la canalizaci\u00f3n de validaci\u00f3n JWT de los productos servidor afectados. El alcance exacto del parche se proporciona en la entrada MSRC correspondiente a cada versi\u00f3n.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCu\u00e1l es la diferencia con CVE-2026-56164?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">56164 corresponde a un EoP (exploit) que ya ha sido explotado en la naturaleza. 55040, por su parte, representa un bypass de autenticaci\u00f3n JWT con una puntuaci\u00f3n CVSS 9.1 y la posibilidad de encadenar una ejecuci\u00f3n remota de c\u00f3digo (RCE).<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQu\u00e9 mitigaci\u00f3n cuenta adem\u00e1s del parche?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Reducir la exposici\u00f3n a Internet, activar AMSI en SharePoint, supervisar cuentas de administrador y alarmar operaciones de sitio inusuales.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=es--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Selecci\u00f3n de la redacci\u00f3n<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/07\/11\/un-control-de-punto-final-ciego-debido-a-un-controlador-firmado\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/cover-hero-8-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Un control de punto final ciego debido a un controlador firmado<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s de la red MBF Media<\/h3>\n<p><a href=\"https:\/\/www.cloudmagazin.com\/es\/2026\/07\/15\/cuando-las-gpus-devoran-el-presupuesto-de-saas\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-wenn-gpus-den-saas-etat-auffressen-24878004.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Cuando las GPUs devoran el presupuesto de SaaS<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/es\/cuando-modelo-aleman-de-ki-calcula\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-wann-sich-deutsches-ki-modell-rechnet-45689807-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Cu\u00e1ndo realmente merece la pena un modelo de IA alem\u00e1n<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"CVE-2026-55040: bypass de JWT no autenticado en SharePoint, CVSS 9.1. Cadena Rapid7, parche de julio y checklist para administradores locales.","protected":false},"author":10,"featured_media":22103,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"vulnerabilidad SharePoint CVE-2026-55040","_yoast_wpseo_title":"Bypass de JWT en SharePoint abre sitios locales","_yoast_wpseo_metadesc":"CVE-2026-55040: bypass de JWT no autenticado en SharePoint con CVSS 9.1. Cadena Rapid7, parche de julio y gu\u00eda para administradores locales.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"es","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[257],"tags":[],"class_list":["post-22114","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-praxis-umsetzung-es"],"evm_reading_time_minutes":5,"wpml_language":"es","wpml_translation_of":22102,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/22114","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=22114"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/22114\/revisions"}],"predecessor-version":[{"id":22134,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/22114\/revisions\/22134"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/22103"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=22114"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=22114"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=22114"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}