El Patch Tuesday de marzo 2026 trajo 79 vulnerabilidades corregidas por Microsoft, incluyendo 2 zero-days activamente explotados — CVE-2026-21262 en SQL Server y CVE-2026-26127 en .NET — que afectan directamente a instancias Windows en AWS donde corren sitios WordPress. Si tenés EC2 con Windows sin parchear, tu servidor ya está expuesto.
En 30 segundos
- Microsoft corrigió 79 CVEs en marzo 2026: 8 críticas, 2 zero-days bajo explotación activa, 46 de elevación de privilegios
- CVE-2026-21262 permite escalar a sysadmin en SQL Server — lectura, modificación y borrado de datos sin restricción
- CVE-2026-26127 es un DoS remoto en .NET que puede tirar servicios que convivan con WordPress en la misma instancia EC2
- AWS Systems Manager Patch Manager permite automatizar la aplicación de estos parches en instancias EC2 Windows sin costo adicional
- Elastic Beanstalk publicó actualización de plataforma Windows el 17 de marzo 2026 que incluye estos parches
Patch Tuesday de marzo 2026: las 79 vulnerabilidades que afectan tu infraestructura AWS
El ciclo de parches Windows AWS marzo 2026 no es uno que puedas postergar. Según Krebs on Security, Microsoft publicó correcciones para entre 79 y 84 CVEs dependiendo de cómo cuentes las de terceros. El desglose es revelador: 46 vulnerabilidades de elevación de privilegios (56% del total), 16 de ejecución remota de código (20%) y 10 de divulgación de información.
Ocho tienen severidad crítica. Dos son zero-days confirmados bajo explotación.
Lo que hace especialmente relevante este Patch Tuesday para quienes administran WordPress en AWS es que no estamos hablando solo de vulnerabilidades teóricas — el análisis de CrowdStrike marca que los exploits para los dos zero-days ya circulan activamente. Azure recibió 13 parches específicos, incluyendo CVE-2026-26118, un SSRF en Azure MCP Server con CVSS 8.8 que demuestra que la infraestructura cloud no queda fuera de alcance. Si bien ese CVE apunta a Azure, el mensaje es claro: la superficie de ataque en la nube es tan real como la de un VPS tradicional.
Vulnerabilidades críticas que impactan instancias Windows en AWS
Acá viene lo concreto. De las 79 vulnerabilidades, Qualys identificó 6 con mayor probabilidad de explotación activa a corto plazo:
CVE-2026-24289 y CVE-2026-26132 son use-after-free en el kernel de Windows. La escalada a SYSTEM es directa — un atacante que ya tenga acceso limitado a tu instancia EC2 (ponele, a través de un plugin WordPress vulnerable) puede tomar control total del servidor. No del sitio. Del servidor entero.
CVE-2026-24291 explota ATBroker.exe, un componente de accesibilidad que corre con privilegios elevados. CVE-2026-23669 es un RCE en Print Spooler — sí, de nuevo Print Spooler, el componente que no deja de dar problemas desde PrintNightmare en 2021.
El escenario real es este: tenés un WordPress en EC2 con Windows, un atacante encuentra un plugin con file upload sin sanitizar, sube un webshell, y desde ahí usa cualquiera de estas vulnerabilidades del kernel para escalar a SYSTEM. A partir de ese punto puede moverse lateralmente a otras instancias, acceder a secretos en el Instance Metadata Service, o comprometer bases de datos RDS asociadas. El parche del SO no es opcional.
Los zero-days de marzo 2026: SQL Server y .NET bajo ataque
CVE-2026-21262 es la joya negra de este Patch Tuesday. Una escalada de privilegios en SQL Server que permite a un atacante autenticado con permisos bajos llegar a sysadmin — con capacidad de leer, modificar y borrar cualquier dato en la instancia.
Ahora, si tu WordPress usa MySQL o MariaDB, podrías pensar que no te toca. Ojo: si en la misma instancia EC2 o en el mismo segmento de red tenés aplicaciones .NET con SQL Server (algo bastante común en entornos Windows mixtos), el riesgo es lateral. Un SQL Server comprometido en tu red interna es un pivote perfecto para llegar al servidor WordPress.
CVE-2026-26127 apunta a .NET con una lectura fuera de límites que permite denegación de servicio remota. Parece menor, pero un DoS contra un servicio .NET que comparte instancia con tu WordPress significa downtime para ambos. BleepingComputer confirmó que ambos zero-days tienen exploits activos al momento de la publicación del parche.
Copilot, Excel y la exfiltración silenciosa: CVE-2026-26144
Esta es rara pero preocupante. CVE-2026-26144 es un XSS en Excel que permite a un Copilot Agent exfiltrar datos por red. Suena a escenario de película, pero pensá en tu flujo de trabajo: descargás un reporte de WooCommerce en Excel, lo abrís en una máquina con Copilot habilitado, y un archivo malicioso podría enviar esos datos a un servidor externo.
Peor todavía: CVE-2026-26110 y CVE-2026-26113 permiten ejecución remota de código en Office a través del panel de vista previa. Sin interacción del usuario. Abrís el explorador de archivos, el preview renderiza el documento, y ya está. Si te interesa, podés leer más sobre nuestra guía sobre firewalls y microsegmentación.
El tema es que muchos administradores de WordPress en AWS trabajan desde estaciones Windows con Office. Si esas estaciones tienen acceso a la consola de AWS o a credenciales SSH, comprometer la estación de trabajo es comprometer la infraestructura.
AWS Systems Manager Patch Manager: automatizar lo que no podés postergar
Patch Manager es el servicio de AWS para gestionar parches en instancias EC2, y no tiene costo adicional. Funciona con tres conceptos clave: patch baselines (qué parches aplicar), maintenance windows (cuándo aplicarlos) y patch groups (a qué instancias).
Internamente ejecuta el documento AWS-RunPatchBaseline que invoca PowerShell en instancias Windows para detectar, descargar e instalar los parches que coincidan con tu baseline. Soporta no solo actualizaciones del sistema operativo sino también parches para aplicaciones Microsoft — SQL Server, .NET Framework, Office.
Configurar auto-aprobación para parches críticos
La baseline por defecto de Windows (AWS-DefaultPatchBaseline) aprueba automáticamente parches clasificados como CriticalUpdates y SecurityUpdates siete días después de su publicación. Para zero-days, siete días es mucho. Podés crear una baseline custom con auto-aprobación en 0 días para severidad Critical y 2 días para Important.
Maintenance windows vs Patch Now
Las maintenance windows son para operación normal — ponele, domingos a las 3 AM cuando tu WordPress tiene menos tráfico. Pero cuando hay zero-days activos como CVE-2026-21262, usá «Patch Now» para forzar la instalación inmediata. Dicho esto, siempre tomá un snapshot AMI antes.
Guía paso a paso: aplicar los parches de marzo 2026 en WordPress sobre AWS
Proceso concreto para que no te quede ningún cabo suelto:
- Paso 1: Creá una patch baseline custom. Clasificación: CriticalUpdates con auto-aprobación 0 días, SecurityUpdates con 1 día. Esto cubre los zero-days sin esperar una semana.
- Paso 2: Definí una maintenance window fuera del horario de mayor tráfico de tu sitio. Si tu WordPress tiene pico entre 9 AM y 11 PM (hora Argentina), programá para las 4 AM UTC-3.
- Paso 3: Asigná un patch group «wordpress-prod» a tus instancias EC2 vía tags. En la consola de Systems Manager, asociá el patch group a la maintenance window.
- Paso 4: Para los zero-days de este mes, no esperes al maintenance window. Usá «Patch Now» desde la consola de Patch Manager seleccionando tus instancias WordPress.
- Paso 5: Post-parche, verificá compliance en Patch Manager > Compliance. Cada instancia debe mostrar «Compliant» para las KBs de marzo 2026.
Si usás Elastic Beanstalk con plataforma Windows, AWS publicó la actualización de plataforma el 17 de marzo 2026 que ya incluye estos parches. Solo necesitás actualizar la versión de plataforma de tu environment.
Sí, vas a tener que reiniciar. Las instancias EC2 con Windows requieren reboot después de instalar parches del kernel — no hay hotpatching como en Azure VMs. Planificá el downtime o usá un balanceador de carga con múltiples instancias para rotar los reinicios.
WorkSpaces y escritorios de administración: el eslabón que se olvida
Hay dos CVEs que no son de marzo 2026 pero siguen pendientes en muchos entornos: CVE-2025-0500 y CVE-2025-0501 en AWS WorkSpaces. Permiten ataques man-in-the-middle con CVSS 7.7. Si administrás tu WordPress desde un WorkSpace, un atacante en la misma red podría interceptar tu sesión y capturar credenciales de wp-admin.
La corrección es actualizar el cliente WorkSpaces a versión 5.22.1 o superior. Es un detalle que pasa desapercibido porque no es «del servidor», pero comprometer el escritorio desde donde gestionás todo es igual de grave. Si te interesa, podés leer más sobre el reciente ataque a Trivy en GitHub Actions.
Priorización de parches: qué instalar primero
| Prioridad | CVEs | Componente | Riesgo | Plazo recomendado |
|---|---|---|---|---|
| Inmediato | CVE-2026-21262 | SQL Server (zero-day) | Escalada a sysadmin | Hoy |
| Inmediato | CVE-2026-26127 | .NET (zero-day) | DoS remoto | Hoy |
| Inmediato | CVE-2026-24289, CVE-2026-26132 | Windows Kernel | Escalada a SYSTEM | 24 horas |
| 48 horas | CVE-2026-26110, CVE-2026-26113 | Office (RCE) | Ejecución sin interacción | 48 horas |
| 48 horas | CVE-2026-23669 | Print Spooler (RCE) | Ejecución remota | 48 horas |
| 7 días | CVE-2026-26144 | Excel / Copilot (XSS) | Exfiltración de datos | 7 días |
| 7 días | CVE-2026-26118 | Azure MCP Server (SSRF) | SSRF, CVSS 8.8 | 7 días |
| 14 días | Resto de Important | Varios | Variable | 14 días |
Antes de aplicar cualquier parche: snapshot de la AMI. Si algo sale mal, restaurás en minutos en vez de reconstruir el servidor.
Errores comunes
Creer que «WordPress usa Linux, esto no me afecta»
Hay una cantidad no menor de instancias EC2 con Windows corriendo WordPress sobre IIS o WAMP. Si tu stack es Windows, cada Patch Tuesday te afecta directamente. Y aunque tu WordPress corra en Linux, si tu base de datos SQL Server está en una instancia Windows vecina, CVE-2026-21262 te toca igual.
Parchear el servidor pero no la estación de trabajo
Actualizás el EC2, te sentís tranquilo, y seguís administrando wp-admin desde una notebook con Office sin parchear. CVE-2026-26110 permite RCE con solo previsualizar un archivo. Si un atacante te manda un documento por mail y lo mirás en el explorador, tu estación queda comprometida — y con ella las credenciales de tu infraestructura AWS.
Postergar el reboot «porque no puedo tener downtime»
Los parches del kernel de Windows necesitan reboot para aplicarse efectivamente. Instalar sin reiniciar es lo mismo que no instalar. Si tu WordPress no tolera downtime, la respuesta no es evitar el reboot sino tener alta disponibilidad con múltiples instancias detrás de un ALB. Si estás buscando opciones de hosting con infraestructura seria para tu WordPress, fijate que soporte instancias múltiples o al menos snapshots rápidos.
Preguntas Frecuentes
¿Tengo que reiniciar mis instancias EC2 después de aplicar los parches de marzo 2026?
Sí, obligatoriamente para los parches de kernel (CVE-2026-24289, CVE-2026-26132). AWS Patch Manager puede programar el reboot automáticamente dentro de la maintenance window. A diferencia de Azure, EC2 no soporta hotpatching para Windows.
¿AWS Patch Manager aplica los parches automáticamente?
Solo si lo configuraste. La baseline por defecto aprueba parches críticos con 7 días de delay. Para zero-days como los de este mes, necesitás una baseline custom con auto-aprobación inmediata o usar la función «Patch Now» manualmente.
¿Qué zero-days de marzo 2026 afectan a WordPress en AWS?
CVE-2026-21262 (SQL Server, escalada a sysadmin) afecta si tu entorno usa SQL Server en la misma red. CVE-2026-26127 (.NET, DoS remoto) impacta servicios .NET que compartan instancia con WordPress. Ambos tienen exploits activos confirmados.
¿Cómo verifico que mis instancias quedaron parcheadas correctamente?
En AWS Systems Manager > Patch Manager > Compliance. Cada instancia muestra estado Compliant o Non-Compliant con detalle de qué KBs faltan. También podés correr Get-HotFix en PowerShell dentro de la instancia para verificar manualmente.
Conclusión
El Patch Tuesday de marzo 2026 no es un ciclo de parches rutinario. Dos zero-days activos, vulnerabilidades de kernel que permiten escalada a SYSTEM, y un ecosistema Office que se convirtió en vector de ataque sin interacción del usuario. Si corrés WordPress en instancias Windows de AWS, la ventana de exposición ya está abierta — cada hora que pasa sin parchear es tiempo que un atacante puede aprovechar.
Configurá Patch Manager con auto-aprobación inmediata para severidad crítica, tomá snapshots antes de aplicar, y no te olvides de las estaciones de trabajo desde donde gestionás todo. El servidor parcheado con un admin comprometido es una puerta abierta con cerradura nueva. Para más contexto sobre gestión de infraestructura WordPress, donweb.news cubre estos temas en profundidad.
Fuentes
- Krebs on Security – Microsoft Patch Tuesday, March 2026 Edition
- BleepingComputer – Microsoft March 2026 Patch Tuesday fixes 2 zero-days, 79 flaws
- Tenable – Microsoft’s March 2026 Patch Tuesday Addresses 83 CVEs
- AWS Documentation – AWS Systems Manager Patch Manager
- CrowdStrike – Patch Tuesday Analysis March 2026