El segundo martes de marzo llegó cargado de trabajo para los equipos de seguridad. Microsoft ha publicado su habitual Patch Tuesday de seguridad de marzo de 2026, abordando un total de 82 vulnerabilidades, entre las que destacan 8 críticas y 2 divulgadas públicamente antes de recibir parche. Si gestionas entornos Windows o usas servicios Azure, este mes tienes deberes.
Análisis de riesgo de marzo 2026
La técnica de explotación predominante este mes es la elevación de privilegios, con 46 parches (56% del total), seguida de la ejecución remota de código (RCE) con 16 parches (20%) y la divulgación de información con 10 parches (12%).
Por familias de productos, Microsoft Windows se lleva la palma con 48 parches, y Azure ocupa el segundo lugar con 13.
Vulnerabilidad crítica en Microsoft Devices Pricing Program
CVE-2026-21536 es una vulnerabilidad crítica de ejecución remota de código que afecta al programa Microsoft Devices Pricing Program, con una puntuación CVSS de 9.8 — la más alta de este ciclo.
El fallo reside en una debilidad de subida de archivos sin restricciones (CWE-434): el servicio no valida correctamente el tipo de archivo que se sube, lo que permite a un atacante remoto no autenticado ejecutar código arbitrario sin necesidad de interacción por parte del usuario. La buena noticia es que Microsoft ya ha mitigado este problema directamente en la infraestructura cloud, sin que los clientes deban hacer nada.
| Severidad | CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 9.8 | CVE-2026-21536 | Microsoft Devices Pricing Program Remote Code Execution Vulnerability |
Tabla 1. Vulnerabilidad crítica en Microsoft Devices Pricing Program
Vulnerabilidad crítica en el Payment Orchestrator Service
CVE-2026-26125 es una vulnerabilidad crítica de elevación de privilegios en el Payment Orchestrator Service, con CVSS 8.6.
El problema está en la ausencia de autenticación para una función crítica del servicio. Un atacante remoto sin privilegios podría ganar acceso elevado, con impacto en la confidencialidad del sistema. El alcance del fallo es «cambiado» (changed scope), lo que indica que la explotación puede afectar a componentes más allá del vulnerable original. Al igual que el caso anterior, Microsoft ya lo ha corregido en la nube de forma transparente para el usuario.
| Severidad | CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 8.6 | CVE-2026-26125 | Payment Orchestrator Service Elevation of Privilege Vulnerability |
Tabla 2. Vulnerabilidad crítica en el Payment Orchestrator Service
Dos vulnerabilidades críticas en Microsoft Office
Dos CVEs que merece la pena tener muy en cuenta este mes: CVE-2026-26110 y CVE-2026-26113, ambas de ejecución remota de código en Microsoft Office y con CVSS 8.4.
Lo que las hace especialmente peligrosas es que el panel de vista previa actúa como vector de ataque: basta con que el archivo malicioso se previsualice para que el código se ejecute, sin que el usuario necesite abrirlo. No hace falta autenticación ni interacción del usuario. El mecanismo técnico varía entre ambas (desreferencia de puntero no confiable y confusión de tipos), pero el resultado es el mismo: ejecución de código en la máquina víctima. Aplica los parches cuanto antes.
| Severidad | CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 8.4 | CVE-2026-26110 | Microsoft Office Remote Code Execution Vulnerability |
| Crítica | 8.4 | CVE-2026-26113 | Microsoft Office Remote Code Execution Vulnerability |
Tabla 3. Vulnerabilidades críticas en Microsoft Office
Vulnerabilidad crítica en Microsoft Excel
CVE-2026-26144 es una vulnerabilidad crítica de divulgación de información en Microsoft Excel, con CVSS 7.5.
Este caso es interesante porque involucra directamente a Copilot: un fallo de cross-site scripting (XSS) podría hacer que el agente de Copilot exfiltre datos a través de tráfico de red no autorizado, constituyendo un ataque de divulgación de información sin un solo clic (zero-click) con alto impacto en la confidencialidad. El panel de vista previa no es un vector en este caso, y Microsoft considera que la explotación activa es improbable por ahora, pero existe parche oficial disponible, así que no hay excusa para no aplicarlo.
| Severidad | CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 7.5 | CVE-2026-26144 | Microsoft Excel Information Disclosure Vulnerability |
Tabla 4. Vulnerabilidad crítica en Microsoft Excel
Tres vulnerabilidades críticas en Microsoft ACI Confidential Containers
Azure también tiene trabajo este mes. Tres CVEs afectan a Microsoft ACI Confidential Containers, un entorno diseñado precisamente para proteger datos sensibles.
- CVE-2026-23651 (CVSS 6.7): fallo de expresión regular permisiva en Azure Compute Gallery que permite a un atacante local con altos privilegios elevarlos aún más y salir del contexto del contenedor.
- CVE-2026-26124 (CVSS 6.7): fallo de path traversal en Azure Compute Gallery con el mismo efecto de escape del contenedor.
- CVE-2026-26122 (CVSS 6.5): inicialización insegura de recursos que expone información sensible a un atacante remoto con bajos privilegios.
Las tres han sido mitigadas completamente por Microsoft en el lado servidor, sin necesidad de acción por parte del cliente, y no hay evidencia de explotación activa.
| Severidad | CVSS | CVE | Descripción |
|---|---|---|---|
| Crítica | 6.7 | CVE-2026-23651 | Microsoft ACI Confidential Containers Elevation of Privilege Vulnerability |
| Crítica | 6.7 | CVE-2026-26124 | Microsoft ACI Confidential Containers Elevation of Privilege Vulnerability |
| Crítica | 6.5 | CVE-2026-26122 | Microsoft ACI Confidential Containers Information Disclosure Vulnerability |
Tabla 5. Vulnerabilidades críticas en Microsoft ACI Confidential Containers
Hecho público Elevación de privilegios en SQL Server
CVE-2026-21262 es una vulnerabilidad importante de escalada de privilegios en Microsoft SQL Server, con CVSS 8.8, y que ya había sido hecha pública antes de recibir parche.
El fallo de control de acceso incorrecto permite a un atacante remoto con bajos privilegios —pero con acceso al sistema— escalar hasta obtener privilegios de sysadmin en SQL Server. No hay interacción de usuario requerida y la complejidad de ataque es baja. Aunque no hay evidencia de explotación activa, el hecho de que ya fuera pública antes del parche lo convierte en prioritario. Aplica la actualización ya.
| Severidad | CVSS | CVE | Descripción |
|---|---|---|---|
| Importante | 8.8 | CVE-2026-21262 | SQL Server Elevation of Privilege Vulnerability |
Tabla 6. Vulnerabilidad importante en SQL Server
Publicada Denegación de servicio en Microsoft .NET
CVE-2026-26127 es una vulnerabilidad importante de denegación de servicio (DoS) en Microsoft .NET, con CVSS 7.5, también hecha pública antes del parche oficial.
Un fallo de lectura fuera de límites (out-of-bounds read) permite a un atacante remoto provocar una condición de DoS en el sistema afectado. Microsoft considera poco probable la explotación activa, pero el parche está disponible. Si tienes aplicaciones sobre .NET expuestas, actualiza sin demora.
| Severidad | CVSS | CVE | Descripción |
|---|---|---|---|
| Importante | 7.5 | CVE-2026-26127 | .NET Denial of Service Vulnerability — Hecha pública |
Tabla 7. Vulnerabilidad importante en Microsoft .NET