Microsoft sacó en su Patch Tuesday del 12 de mayo de 2026 parches para cuatro vulnerabilidades de ejecución remota de código en Word: CVE-2026-40361, CVE-2026-40364, CVE-2026-40366 y CVE-2026-40367. Las cuatro tienen el mismo CVSS, 8.4, y comparten un detalle que las hace más peligrosas de lo que parece a primera vista: el panel de vista previa de Windows funciona como vector de ataque.
Qué significa que el Preview Pane sea vector
Cuando seleccionas un archivo en el Explorador de Windows o miras un correo en Outlook, el panel de vista previa renderiza el contenido del documento sin que tú lo abras. Para un fallo de Word que se dispara al procesar un documento manipulado, eso elimina un paso del ataque. No hace falta que la víctima haga doble clic ni que pulse “habilitar edición”. Basta con que el archivo malicioso pase por delante del panel de vista previa para que el código del atacante tenga ocasión de ejecutarse.
Aun así, el ataque sigue dependiendo de que el documento llegue a la máquina. Microsoft clasifica el vector como ingeniería social: un correo con adjunto, un fichero compartido, una descarga. No es un gusano que se propaga solo por la red.
Gravedad y probabilidad de explotación
Microsoft etiquetó CVE-2026-40361 y CVE-2026-40364 como “Exploitation More Likely” en su índice de explotabilidad. Es la valoración que reserva para fallos cuyo patrón resulta atractivo y técnicamente abordable para quien construya un exploit. Las otras dos, CVE-2026-40366 y CVE-2026-40367, quedaron en una probabilidad menor.
Microsoft califica el conjunto como crítico. La ejecución de código se produce con los privilegios del usuario que tiene Word abierto, así que el daño real depende de con qué cuenta trabaje la víctima. En un puesto de trabajo con usuario administrador, el alcance es total.
A quién afecta y qué hacer
El producto afectado es Microsoft Word en sus distintas ediciones de escritorio dentro del paquete Office. Microsoft no detalló números de versión concretos en el aviso, más allá de identificar el producto.
La acción es directa: instala las actualizaciones de seguridad de mayo de 2026 desde Windows Update o desde el canal de actualización de Microsoft 365 / Office. Si gestionas un parque de equipos, prioriza estos parches porque dos de los cuatro fallos están marcados como más probables de explotar y el panel de vista previa quita la última barrera de interacción del usuario.
Mientras despliegas los parches, hay una medida que reduce la exposición: desactivar el panel de vista previa en el Explorador y en Outlook para los adjuntos de Office. No sustituye al parche, pero corta el camino más cómodo del atacante. Y la higiene habitual sigue valiendo: desconfía de documentos Word no solicitados, sobre todo si llegan por correo de remitentes externos.
Si usas Linux y abres estos archivos con LibreOffice u OnlyOffice en lugar de Word, este fallo concreto no te toca, porque está en el código de Microsoft Word. Conviene recordarlo en entornos mixtos donde conviven Windows y estaciones Linux.
Fuente
- Tenable, análisis del Patch Tuesday de mayo de 2026: https://www.tenable.com/blog/microsofts-may-2026-patch-tuesday-addresses-118-cves-cve-2026-41103
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-40361