El 10 de febrero de 2026, dentro de su ciclo de boletines de seguridad, Microsoft hizo pública una vulnerabilidad crítica de elevación de privilegios en Azure Front Door, identificada como CVE-2026-24300. Le asignaron una puntuación CVSS de 9.8 sobre 10, casi el máximo, así que hablamos de uno de los problemas más serios que se reportaron ese mes.
Qué es Azure Front Door y en qué consiste el fallo
Azure Front Door es el servicio de Microsoft que hace de punto de entrada global para aplicaciones web. Combina balanceo de carga, red de entrega de contenidos (CDN), terminación TLS y un firewall de aplicaciones web (WAF). Muchas organizaciones lo colocan como primera línea de defensa y enrutamiento delante de sus servidores de backend.
El fallo entra en la categoría de control de acceso indebido (CWE-284). En la práctica, el servicio no comprobaba bien los permisos asociados a ciertas operaciones, así que un atacante podía tocar recursos que no le tocaban. De ahí la elevación de privilegios: la posibilidad de hacerse con un nivel de control por encima del que tenía autorizado.
A quién afecta y por qué es tan grave
Lo que dispara la severidad de CVE-2026-24300 es su vector de ataque. Según el análisis del CVSS:
- Vector de red: explotable de forma remota, sin necesidad de acceso físico ni local.
- Sin autenticación: el atacante no necesita credenciales válidas.
- Sin interacción del usuario: no hace falta engañar a nadie para que haga clic en nada.
- Baja complejidad: no requiere condiciones especiales difíciles de cumplir.
Esa combinación (remoto, no autenticado, sin interacción) es la que define un fallo crítico de 9.8. Según la información publicada, un atacante podría llegar a manipular la configuración de Azure Front Door de otros clientes, acceder a recursos de backend protegidos o alterar reglas de enrutamiento. En el peor de los casos, eso permitiría eludir el WAF que en teoría protege esos servicios.
El impacto pesa porque Front Door es un servicio compartido y multiinquilino. Si falla el aislamiento entre clientes, el alcance puede ser enorme.
Mitigación y parche
Azure Front Door es un servicio gestionado en la nube de Microsoft. Cuando la vulnerabilidad está en la propia plataforma, la corrección se aplica del lado del proveedor, dentro de la infraestructura de Azure, y los clientes no tienen que instalar parches ni reconfigurar nada. Microsoft publicó la entrada correspondiente en su Security Update Guide para documentar el problema y su resolución.
Aun así, si gestionas plataformas merece la pena revisar el aviso oficial de Microsoft por si en tu caso concreto hace falta alguna acción. Y como buena práctica general, audita las configuraciones de Front Door, las reglas del WAF y los permisos de acceso a los recursos de backend. Mantener registros de actividad y revisar accesos raros siempre viene bien tras conocerse un fallo de control de acceso de este tipo.
Azure Front Door es un servicio propietario de Microsoft, pero quien sirve cargas de trabajo Linux por detrás conviene que no olvide una cosa: la seguridad perimetral en la nube no sustituye al endurecimiento del propio sistema operativo.
Fuente
- MSRC - Microsoft Security Update Guide: CVE-2026-24300
- NVD - National Vulnerability Database: CVE-2026-24300