Microsoft corrige 137 vulnerabilidades en el Patch Tuesday de mayo, 13 de ellas críticas

Microsoft ha lanzado su actualización mensual de seguridad, conocida como Patch Tuesday de mayo, resolviendo un total de 137 vulnerabilidades en sus diversos productos empresariales, componentes y sistemas subyacentes.

Aunque el número de fallos es elevado, la compañía no ha identificado ninguna vulnerabilidad de día cero (zero-day) que esté siendo explotada activamente en este ciclo de parches.

Vulnerabilidades críticas y de alto riesgo

De las 137 vulnerabilidades corregidas, 13 han sido clasificadas como críticas según el sistema CVSS. Entre ellas destacan:

• CVE-2026-33109 y CVE-2026-42823: Dos fallos en Microsoft Azure que podrían permitir a atacantes no autenticados ejecutar código de forma remota.
• CVE-2026-42898: Vulnerabilidad en Microsoft Dynamics 365 con una puntuación CVSS de 9.9, lo que indica un riesgo extremadamente alto.

Además, Microsoft ha identificado 13 vulnerabilidades con mayor probabilidad de ser explotadas, mientras que 113 defectos se consideran menos probables o improbables de ser aprovechados.

Preocupación por fallos en servicios críticos de Windows

Dustin Childs, responsable de concienciación sobre amenazas en la iniciativa Zero Day de Trend Micro, destacó en un análisis la gravedad de CVE-2026-41096, un fallo en el servicio DNS de Windows que permite la ejecución remota de código sin necesidad de autenticación ni interacción del usuario.

«Un atacante con capacidad para manipular las respuestas DNS podría lograr una ejecución remota de código no autenticada en toda la empresa, ya que el cliente DNS se ejecuta en prácticamente todas las máquinas con Windows», advirtió Childs.

También llamó la atención sobre CVE-2026-41089, un defecto en Netlogon de Windows que permite a atacantes remotos no autenticados ejecutar código. Según Childs, «un controlador de dominio comprometido equivale a un dominio comprometido», lo que subraya la urgencia de aplicar el parche.

Riesgo para Microsoft Dynamics 365

Jack Bicer, director de investigación de vulnerabilidades en Action1, alertó sobre CVE-2026-42898, la vulnerabilidad crítica en Microsoft Dynamics 365.

«Sin necesidad de interacción del usuario y con potencial para afectar sistemas más allá del componente vulnerable, este fallo representa un riesgo grave para las empresas: un atacante con acceso básico podría convertir un servidor de aplicaciones empresariales en una plataforma de ejecución remota», explicó Bicer.

Añadió que la explotación exitosa de esta vulnerabilidad podría exponer registros de clientes, flujos de trabajo operativos, información financiera y sistemas empresariales integrados, además de comprometer servicios de identidad, bases de datos y aplicaciones corporativas.

Tendencia al alza en vulnerabilidades

El elevado número de fallos corregidos refleja una tendencia creciente que los investigadores anticipaban: el uso de modelos de inteligencia artificial para descubrir vulnerabilidades previamente ocultas en el código. Aunque no todos estos fallos fueron detectados por IA, es probable que esta tecnología haya jugado un papel clave, incluso en el proceso de presentación de informes», señaló Childs en su análisis.

Microsoft ha publicado la lista completa de vulnerabilidades corregidas en su Centro de Respuesta de Seguridad.