Microsoft ha corregido 59 vulnerabilidades en su Patch Tuesday de Febrero de 2026. Entre ellas se incluyen seis vulnerabilidades explotadas activamente, tres de las cuales eran de dominio público, y cinco vulnerabilidades críticas.
Febrero de 2026 Análisis de riesgos
Los principales tipos de riesgo de este mes por técnica de explotación son la elevación de privilegios con 25 parches (42 %), la ejecución remota de código (RCE) con 12 parches (20 %) y la suplantación de identidad con 8 parches (14 %).
Figura 1. Desglose de las técnicas de explotación del Patch Tuesday de febrero de 2026.
Microsoft Windows recibió la mayor cantidad de parches este mes, con 32, seguido por ESU, con 25.
Figura 2. Desglose de las familias de productos afectadas por el Patch Tuesday de febrero de 2026.
CVE-2026-21533 es una vulnerabilidad importante de elevación de privilegios que afecta a Windows Remote Desktop Services y tiene una puntuación CVSS de 7,8. Microsoft ha confirmado que esta vulnerabilidad se está explotando activamente en el mundo real, pero no se había revelado públicamente. CrowdStrike identificó y notificó esta vulnerabilidad a Microsoft.
El binario de explotación CVE-2026-21533 modifica una clave de configuración del servicio, sustituyéndola por una clave controlada por el atacante, lo que podría permitir a los adversarios elevar privilegios para añadir un nuevo usuario al grupo de administradores. La búsqueda retrospectiva de CrowdStrike Intelligence ha revelado que los actores maliciosos habían utilizado este binario en el mundo real para atacar a entidades con sede en Estados Unidos y Canadá desde al menos el 24 de diciembre de 2025. CrowdStrike Intelligence considera que la divulgación pública de CVE-2026-21533 por parte de Microsoft animará casi con toda seguridad a los actores maliciosos que posean binarios de explotación CVE-2026-21533, así como a cualquier intermediario de exploits que posea el exploit subyacente, a utilizar o monetizar los exploits a corto plazo. Más información por parte de CrowdStrike en CSA-260174 (bajo registro).
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2026-21533 | Windows Remote Desktop Services Elevation of Privilege Vulnerability |
Tabla 1. Vulnerabilidad importante de día cero explotada activamente en Windows Remote Desktop.
Vulnerabilidad Zero-Day explotada activamente y divulgada públicamente en el marco MSHTML
CVE-2026-21513 es una vulnerabilidad importante que afecta a la función de seguridad del marco MSHTML y tiene una puntuación CVSS de 8,8. Microsoft ha confirmado que esta vulnerabilidad se está explotando activamente y se ha revelado públicamente.
La vulnerabilidad permite a los atacantes remotos sin privilegios eludir las solicitudes de seguridad al ejecutar archivos, convenciendo a los usuarios para que abran archivos HTML maliciosos o archivos de acceso directo (.lnk) enviados a través de ingeniería social. Los archivos especialmente diseñados manipulan el manejo del navegador y del shell de Windows, lo que provoca que el sistema operativo ejecute el contenido sin las advertencias de seguridad adecuadas. Esta elusión puede dar lugar a la ejecución de código con un alto impacto en la confidencialidad, la integridad y la disponibilidad. La vulnerabilidad requiere la interacción del usuario, pero tiene una baja complejidad de ataque y afecta a múltiples versiones de los sistemas Windows 10, Windows 11 y Windows Server desde Server 2012.
| Severity | CVSS Score | CVE | Description |
| Important | 8.8 | CVE-2026-21513 | MSHTML Framework Security Feature Bypass Vulnerability |
Tabla 2. Vulnerabilidad Zero-Day importante, explotada activamente y difundida públicamente en MSHTML Framework.
Vulnerabilidad Zero-Day en Microsoft Windows Shell explotada activamente y difundida públicamente
CVE-2026-21510 es una vulnerabilidad importante que permite eludir una característica de seguridad y que afecta a Windows Shell, con una puntuación CVSS de 8,8. Microsoft ha confirmado que esta vulnerabilidad se está explotando activamente y se ha hecho pública.
La vulnerabilidad permite a atacantes remotos sin privilegios eludir las solicitudes de seguridad de Windows SmartScreen y Windows Shell convenciendo a los usuarios para que abran enlaces maliciosos o archivos de acceso directo. Los archivos especialmente diseñados aprovechan un manejo inadecuado de los componentes de Windows Shell, lo que provoca que se ejecute contenido controlado por el atacante sin advertencia ni consentimiento del usuario. Esta elusión puede dar lugar a la ejecución de código. El ataque requiere la interacción del usuario, pero su complejidad es baja, lo que lo hace fácilmente explotable mediante técnicas de ingeniería social.
| Severity | CVSS Score | CVE | Description |
| Important | 8.8 | CVE-2026-21510 | Windows Shell Security Feature Bypass Vulnerability |
Tabla 3. Vulnerabilidad Zero-Day importante, explotada activamente y difundida públicamente en Windows Shell.
Vulnerabilidad Zero-Day explotada activamente y difundida públicamente en Microsoft Word
CVE-2026-21514 es una vulnerabilidad importante que afecta a Microsoft Word y tiene una puntuación CVSS de 7,8. Microsoft ha confirmado que esta vulnerabilidad se está explotando activamente y se ha hecho pública.
La vulnerabilidad permite a los atacantes locales sin privilegios eludir las mitigaciones OLE (Object Linking and Embedding) en Microsoft 365 y Microsoft Office engañando a los usuarios para que abran archivos maliciosos de Office. Los archivos especialmente diseñados aprovechan la dependencia de entradas no fiables en las decisiones de seguridad, lo que permite que los controles COM/OLE vulnerables se ejecuten sin la protección adecuada. Esta elusión puede dar lugar a la ejecución de código con un alto impacto en la confidencialidad, la integridad y la disponibilidad, pero la vulnerabilidad requiere la interacción del usuario. La complejidad del ataque es baja, lo que lo hace fácilmente explotable mediante técnicas de ingeniería social, como correos electrónicos de phishing con archivos adjuntos maliciosos. El panel de vista previa no es un vector de ataque para esta vulnerabilidad.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2026-21514 | Microsoft Word Security Feature Bypass Vulnerability |
Tabla 4. Vulnerabilidad Zero-Day importante, explotada activamente y difundida públicamente en Microsoft Word.
Vulnerabilidad Zero-Day explotada activamente en Desktop Window Manager
CVE-2026-21519 es una vulnerabilidad importante de elevación de privilegios que afecta a Desktop Window Manager y tiene una puntuación CVSS de 7,8. Microsoft ha confirmado que esta vulnerabilidad se está explotando activamente en el mundo real, pero no se había revelado públicamente.
La vulnerabilidad permite a los atacantes locales con privilegios bajos elevarse a privilegios del SYSTEMA a través de un fallo de confusión de tipos en Desktop Window Manager. El exploit especialmente diseñado accede a los recursos utilizando tipos incompatibles, lo que permite una escalada de privilegios no autorizada. La vulnerabilidad no requiere la interacción del usuario y tiene una baja complejidad de ataque, lo que la convierte en un objetivo atractivo para los atacantes que ya han obtenido acceso inicial a un sistema. A pesar de que no se ha demostrado la existencia de código de exploit público, se ha detectado un aprovechamiento activo en el mundo real, lo que indica que los actores maliciosos poseen exploits funcionales para esta vulnerabilidad zero-day.
| Severity | CVSS Score | CVE | Description |
| Important | 7.8 | CVE-2026-21519 | Desktop Window Manager Elevation of Privilege Vulnerability |
Tabla 5. Vulnerabilidad Zero-Day importante explotada activamente en Desktop Window Manager
Vulnerabilidad Zero-Day explotada activamente en Windows Remote Access Connection Manager
CVE-2026-21525 es una vulnerabilidad moderada de denegación de servicio que afecta a Windows Remote Access Connection Manager y tiene una puntuación CVSS de 6,2. Microsoft confirmó que esta vulnerabilidad se está explotando activamente en el mundo real, pero no se había revelado públicamente.
La vulnerabilidad permite a los atacantes locales sin privilegios provocar una denegación de servicio a través de una desreferencia de puntero nulo en Windows Remote Access Connection Manager. La vulnerabilidad no requiere la interacción del usuario y tiene una baja complejidad de ataque, lo que permite a los atacantes interrumpir la disponibilidad del sistema. A pesar de que no se ha demostrado la existencia de código de explotación público, se ha detectado una explotación activa en el entorno real, lo que indica que los actores maliciosos poseen exploits que funcionan.
| Severity | CVSS Score | CVE | Description |
| Moderate | 6.2 | CVE-2026-21525 | Windows Remote Access Connection Manager Denial of Service Vulnerability |
Tabla 6. Vulnerabilidad Zero-Day moderada explotada activamente en Windows Remote Access Connection Manager
Tres vulnerabilidades críticas en Microsoft Azure
CVE-2026-24300 es una vulnerabilidad crítica de elevación de privilegios que afecta a Azure Front Door y tiene una puntuación CVSS de 9,8.
La vulnerabilidad permite a atacantes remotos sin privilegios elevar sus privilegios a través de un control de acceso inadecuado en Azure Front Door. La vulnerabilidad no requiere interacción del usuario y tiene una complejidad de ataque baja. Microsoft ha corregido de forma proactiva esta vulnerabilidad dentro de la infraestructura de nube de Azure sin necesidad de intervención por parte de los clientes. Este CVE se publica con fines de transparencia como parte del compromiso de Microsoft de divulgar las vulnerabilidades de los servicios en la nube. Los usuarios de Azure Arc están protegidos automáticamente sin necesidad de parches ni cambios de configuración.
CVE-2026-24302 es una vulnerabilidad crítica de elevación de privilegios que afecta a Azure Arc y tiene una puntuación CVSS de 8,6.
La vulnerabilidad permite a los atacantes remotos sin privilegios elevar sus privilegios a través de un control de acceso inadecuado en Azure Arc. La vulnerabilidad no requiere la interacción del usuario, tiene una complejidad de ataque baja y presenta un alcance modificado con un impacto potencial alto en la confidencialidad. Al tratarse de una vulnerabilidad del servicio en la nube, Microsoft ya ha implementado correcciones en toda la plataforma Azure, eliminando el riesgo sin necesidad de que los clientes tengan que tomar ninguna medida. Este CVE se publica con fines de transparencia, como parte del compromiso de Microsoft de divulgar las vulnerabilidades de los servicios en la nube. Los usuarios de Azure Arc están protegidos automáticamente, sin necesidad de parches ni cambios de configuración.
CVE-2026-21532 es una vulnerabilidad crítica de divulgación de información que afecta a Azure Function y tiene una puntuación CVSS de 8,2.
La vulnerabilidad permite a atacantes remotos sin privilegios acceder a información confidencial mediante la exposición de información confidencial a actores no autorizados en Azure Function. La vulnerabilidad no requiere interacción del usuario, tiene una complejidad de ataque baja y podría tener un impacto alto en la confidencialidad y un impacto bajo en la integridad. Microsoft ha resuelto esta vulnerabilidad mediante actualizaciones de la infraestructura backend que se han aplicado de forma transparente a todos los clientes de Azure Function. No es necesaria ninguna acción por parte del usuario, ni la aplicación de parches ni modificaciones de la configuración. Este CVE se publica con fines de transparencia, como parte del compromiso de Microsoft de divulgar las vulnerabilidades de los servicios en la nube. Los usuarios de Azure Function están protegidos automáticamente, sin necesidad de aplicar parches ni realizar cambios en la configuración.
| Severity | CVSS Score | CVE | Description |
| Critical | 9.8 | CVE-2026-24300 | Azure Front Door Elevation of Privilege Vulnerability |
| Critical | 8.6 | CVE-2026-24302 | Azure Arc Elevation of Privilege Vulnerability |
| Critical | 8.2 | CVE-2026-21532 | Azure Function Information Disclosure Vulnerability |
Tabla 7. Vulnerabilidades críticas en Microsoft Azure
Dos vulnerabilidades críticas en los contenedores confidenciales de Microsoft ACI
CVE-2026-21522 es una vulnerabilidad crítica de elevación de privilegios que afecta a los contenedores confidenciales de Microsoft ACI y tiene una puntuación CVSS de 6,7. Esta vulnerabilidad no se ha revelado públicamente y no hay pruebas de que se haya explotado en la práctica.
Un fallo de inyección de comandos en Azure Compute Gallery podría permitir a los atacantes locales con privilegios elevados ejecutar comandos arbitrarios dentro del contexto del contenedor ACI afectado. La vulnerabilidad no requiere la interacción del usuario y tiene una complejidad de ataque baja. En escenarios de contenedores confidenciales, una explotación exitosa podría permitir a los atacantes acceder a secretos o datos confidenciales protegidos por el entorno certificado y ejecutar código con los mismos privilegios que el contenedor comprometido. Aunque existe código de explotación de prueba de concepto, Microsoft considera que la explotación es poco probable. Hay una corrección oficial disponible para que los clientes la implementen.
CVE-2026-23655 es una vulnerabilidad crítica de divulgación de información que afecta a los contenedores confidenciales de Microsoft ACI con una puntuación CVSS de 6,5. Esta vulnerabilidad no se había divulgado públicamente y no hay pruebas de que se haya explotado en el mundo real.
El almacenamiento en texto claro de información confidencial en Azure Compute Gallery podría permitir a atacantes remotos con privilegios bajos divulgar tokens y claves secretas a través de una red. La vulnerabilidad no requiere la interacción del usuario y tiene una baja complejidad de ataque, lo que podría tener un alto impacto en la confidencialidad. A pesar de la falta de código de explotación público, la exposición de las credenciales de autenticación y las claves criptográficas supone un riesgo significativo para los entornos de contenedores confidenciales. Microsoft considera que la explotación es poco probable y hay una solución oficial disponible para que los clientes la implementen.
| Severity | CVSS Score | CVE | Description |
| Critical | 6.7 | CVE-2026-21522 | Microsoft ACI Confidential Containers Elevation of Privilege Vulnerability |
| Critical | 6.5 | CVE-2026-23655 | Microsoft ACI Confidential Containers Information Disclosure Vulnerability |
Tabla 8. Vulnerabilidades críticas en los contenedores confidenciales de Microsoft ACI.