Fecha de publicación: 27 de enero de 2026
Última revisión: 27 de enero de 2026
Gravedad: Alta
Sistema Afectados: Microsoft Office 2016, 2019
I. Descripción
Según la descripción de Microsoft sobre el día cero, “La dependencia de entradas no confiables en una decisión de seguridad en Microsoft Office permite a un atacante no autorizado saltarse una función de seguridad localmente”.
El CVE-2026-21509 es una vulnerabilidad de Security Feature Bypass en Microsoft Oficce, la causa es por la dependencia de entradas no confiables en decisiones de seguridad. Un atacante sin privilegios puede eludir mitigaciones OLE/COM de forma local tras convencer a la victima de abrir un archivo de Office especialmente manipulado.
II. Detalle
CVSS: 7.2 (Alto)
Privilegios requeridos: ninguno
Interaccion con el usuario: obligatorio
Confidencialidad: Alto
Integridad: Alto
Disponibilidad: Alto
Explotacion: La eplotacion éxitos de la falla depende de que un atacante envie un archivo de Office especialmente diseñado y conveza a los destinatarios para que lo abran.
Riesgo: las mitigaciones OLE en Microsoft 365 y Microsoft Office, que protegen a los usuarios de controles COM/OLE vulnerables
Microsoft Agradeció alCentro de Inteligencia de Amenazas de Microsoft (MSTIC), Centro de Respuesta de Seguridad de Microsoft (MSRC) y el Equipo de Seguridad del Grupo de Productos de Office
III. Referencia a soluciones, herramientas e información
Como soluciones instalar las siguientes versiones de Microsft Office:
- Microsoft Office 2019 (32-bit edition) – 16.0.10417.20095
- Microsoft Office 2019 (64-bit edition) – 16.0.10417.20095
- Microsoft Office 2016 (32-bit edition) – 16.0.5539.1001
- Microsoft Office 2016 (64-bit edition) – 16.0.5539.1001
Si por alguna razón no puede aplicar el parche de inmediato, Microsoft ofrece una mitigación temporal que puede aplicar en el registro de Windows. Es una alternativa que puede seguir para reducir el riesgo de explotación mientras espera implementar el parche oficial.
Como precaución adicional, podría desactivar del sistema el panel de vista previa que no es un vector de ataque para esta vulnerabilidad.
Referencias:
Microsoft Office Security Feature Bypass Vulnerability (Microsoft MSRC)
Microsoft Office Zero-Day (CVE-2026-21509): parche de emergencia emitido por explotación activa. (s. f.). Segu-Info – Ciberseguridad Desde 2000. https://blog.segu-info.com.ar/2026/01/microsoft-office-zero-day-cve-2026.html
Security Update Guide – Microsoft Security Response Center. (s. f.). https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509
What Is Object Linking and Embedding (OLE)? | Key Features | Huntress. (s. f.). Huntress. https://www.huntress.com/cybersecurity-101/topic/what-is-object-linking-embedding