Fecha de publicaci\u00f3n: 27 de enero de 2026<\/p>\n\n\n\n
\u00daltima revisi\u00f3n: 27 de enero de 2026<\/p>\n\n\n\n
Gravedad: Alta<\/p>\n\n\n\n
Sistema Afectados: Microsoft Office 2016, 2019<\/p>\n\n\n\n
I. Descripci\u00f3n<\/p>\n\n\n\n
Seg\u00fan la descripci\u00f3n de Microsoft sobre el d\u00eda cero, \u201cLa dependencia de entradas no confiables en una decisi\u00f3n de seguridad en Microsoft Office permite a un atacante no autorizado saltarse una funci\u00f3n de seguridad localmente\u201d.<\/p>\n\n\n\n
El CVE-2026-21509 es una vulnerabilidad de Security Feature Bypass en Microsoft Oficce, la causa es por la dependencia de entradas no confiables en decisiones de seguridad. Un atacante sin privilegios puede eludir mitigaciones OLE\/COM de forma local tras convencer a la victima de abrir un archivo de Office especialmente manipulado.<\/p>\n\n\n\n
II. Detalle<\/p>\n\n\n\n
CVSS: 7.2 (Alto)<\/p>\n\n\n\n
Privilegios requeridos: ninguno<\/p>\n\n\n\n
Interaccion con el usuario: obligatorio<\/p>\n\n\n\n
Confidencialidad: Alto<\/p>\n\n\n\n
Integridad: Alto<\/p>\n\n\n\n
Disponibilidad: Alto<\/p>\n\n\n\n
Explotacion: La eplotacion \u00e9xitos de la falla depende de que un atacante envie un archivo de Office especialmente dise\u00f1ado y conveza a los destinatarios para que lo abran.<\/p>\n\n\n\n
Riesgo: las mitigaciones OLE en Microsoft 365 y Microsoft Office, que protegen a los usuarios de controles COM\/OLE vulnerables<\/p>\n\n\n\n
Microsoft Agradeci\u00f3 alCentro de Inteligencia de Amenazas de Microsoft (MSTIC), Centro de Respuesta de Seguridad de Microsoft (MSRC) y el Equipo de Seguridad del Grupo de Productos de Office<\/p>\n\n\n\n
III. Referencia a soluciones, herramientas e informaci\u00f3n<\/p>\n\n\n\n
Como soluciones instalar las siguientes versiones de Microsft Office:<\/p>\n\n\n\n
Si por alguna raz\u00f3n no puede aplicar el parche de inmediato, Microsoft ofrece una mitigaci\u00f3n temporal que puede aplicar en el registro de Windows. Es una alternativa que puede seguir para reducir el riesgo de explotaci\u00f3n mientras espera implementar el parche oficial.<\/p>\n\n\n\n
Como precauci\u00f3n adicional, podr\u00eda desactivar del sistema el panel de vista previa que no es un vector de ataque para esta vulnerabilidad.<\/p>\n\n\n\n
Referencias:<\/p>\n\n\n\n
Microsoft Office Security Feature Bypass Vulnerability (Microsoft MSRC)<\/p>\n\n\n\n
Microsoft Office Zero-Day (CVE-2026-21509): parche de emergencia emitido por explotaci\u00f3n activa<\/em>. (s. f.). Segu-Info – Ciberseguridad Desde 2000. https:\/\/blog.segu-info.com.ar\/2026\/01\/microsoft-office-zero-day-cve-2026.html<\/a><\/p>\n\n\n\n Security Update Guide – Microsoft Security Response Center<\/em>. (s. f.). https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2026-21509<\/a><\/p>\n\n\n\n