Vulnerabilidades críticas en Cisco 2026

Vulnerabilidad crítica - 22/01

Introducción

CVE-2026-20045 es una vulnerabilidad de ejecución remota de código que está siendo activamente explotada.

Análisis

CVE-2026-20045 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N- 8,2

CVE-2026-20045 se origina por validación incorrecta de datos de entrada en solicitudes HTTP a la interfaz web de administración de los dispositivos afectados. Un atacante no autenticado y remoto puede enviar una serie de peticiones maliciosas para desencadenar la ejecución de comandos arbitrarios en el sistema operativo subyacente. De esta manera, si se explota con éxito, el atacante podría obtener acceso a nivel de sistema operativo y tener el control total del dispositivo.

Versiones afectadas

• CM unificado ( CSCwr21851 )
• CM SME unificado ( CSCwr21851 )
• CM IM&P unificado ( CSCwr29216 )
• Conexión de Unity ( CSCwr29208 )
• Instancia dedicada de Webex Calling ( CSCwr21851 )

Recomendaciones

Instalar las actualizaciones de software publicadas por Cisco.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b
• https://www.incibe.es/index.php/incibe-cert/alerta-temprana/vulnerabilidades/cve-2026-20045
• https://www.cisa.gov/news-events/alerts/2026/01/21/cisa-adds-one-known-exploited-vulnerability-catalog
• https://thehackernews.com/2026/01/cisco-fixes-actively-exploited-zero-day.html

Vulnerabilidad crítica - 26/02

Introducción

Cisco Systems ha publicado un aviso de seguridad crítico sobre la vulnerabilidad CVE-2026-20127 que afecta a Cisco Catalyst SD-WAN Controller y SD-WAN Manager (antes vSmart y vManage). La falla permite a un atacante remoto no autenticado eludir el proceso de autenticación y obtener privilegios administrativos completos en los dispositivos afectados, lo que compromete la integridad y el control de la infraestructura SD-WAN. Cisco ha confirmado que la vulnerabilidad está siendo explotada activamente y ha publicado actualizaciones de software para corregir el problema. 

Análisis

CVE-2026-20127 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H -10

CVE-2026-20127 consiste en un fallo de validación en el mecanismo de autenticación de los componentes de gestión, como el Controller y el Manager. Debido a una implementación incorrecta en la verificación de las solicitudes entrantes, el sistema puede aceptar peticiones manipuladas sin comprobar adecuadamente si el usuario está autenticado. Esto permite que un atacante remoto envíe solicitudes especialmente diseñadas al servicio expuesto y consiga que el dispositivo las procese como si provinieran de un usuario con sesión válida y pueda obtener privilegios administrativos completos sin necesidad de credenciales legítimas. De esta manera, el atacante puede modificar configuraciones, alterar políticas de enrutamiento, crear nuevas cuentas o incluso redirigir el tráfico de la red, comprometiendo la integridad y disponibilidad de toda la infraestructura SD-WAN. La gravedad de esta vulnerabilidad radica en que no requiere autenticación previa, puede explotarse de forma remota y afecta directamente al plano de control de la red, lo que justifica su calificación crítica y la necesidad de aplicar las actualizaciones de seguridad de forma inmediata.

Versiones afectadas

• Implementación local
• Nube SD-WAN alojada por Cisco
• Nube SD-WAN alojada por Cisco - Gestionada por Cisco
• Nube SD-WAN alojada por Cisco - Entorno FedRAMP

Recomendaciones

• Actualizar el software
• Evitar el acceso al sistema desde redes no seguras
• Proteger los componentes de control de Cisco Catalyst SD-WAN con un dispositivo de filtrado
• Monitorear el tráfico de los registros web para detectar cualquier tráfico inesperado hacia y desde los sistemas
• Deshabilitar HTTP para el portal de administrador de la interfaz de usuario web de Cisco Catalyst SD-WAN Manager, así como cualquier servicio de red que no sea necesario
• Cambiar la contraseña de administrador predeterminada por una más segura

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
• https://www.cyber.gc.ca/en/alerts-advisories/al26-004-critical-vulnerability-affecting-cisco-catalyst-sd-wan-cve-2026-20127
• https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/exploitation-of-cisco-sd-wan-appliances
• https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html

Vulnerabilidad crítica - 19/03

Introducción

CVE-2026-20131 es falla crítica de seguridad que afecta a Cisco Secure Firewall Management Center (FMC), un componente central en la administración de infraestructuras de firewall empresariales. Se trata de una vulnerabilidad de ejecución remota de código (RCE) que puede ser explotada sin necesidad de autenticación previa, lo que incrementa significativamente su gravedad y exposición.

El problema radica en un mecanismo de deserialización insegura, lo que permite a un atacante enviar datos manipulados específicamente diseñados para ejecutar código arbitrario en el sistema afectado. Como consecuencia , un actor malicioso podría obtener ejecución de comandos con privilegios de superusuario (root), comprometiendo por completo la integridad del dispositivo.

Algunas fuentes advierten de que esta vulnerabilidad está siendo explotada por Interlock Ransomware.

Análisis

CVE-2026-20131 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10

CVE-2026-20131 se clasifica como crítica debido a su capacidad de permitir ejecución remota de código sin necesidad de autenticación. Esta falla se origina en un manejo inseguro de objetos serializados en la interfaz web del sistema. Durante su funcionamiento normal, la aplicación recibe objetos serializados para procesar información compleja; sin embargo, el sistema no valida correctamente el contenido de estos objetos antes de deserializarlos, lo que puede propiciar que un atacante inserte código malicioso.

El proceso de explotación consiste en enviar un objeto especialmente manipulado a la interfaz web vulnerable. Al deserializarlo, el sistema ejecuta de manera automática las instrucciones contenidas en el objeto, otorgando al atacante la capacidad de ejecutar comandos con privilegios elevados. Esta vulnerabilidad no requiere interacción del usuario ni credenciales, por lo que cualquier instancia del sistema accesible desde redes no confiables representa un riesgo inmediato.

El impacto de la explotación es significativo. Un atacante podría obtener control total del dispositivo, modificar políticas de seguridad, acceder a información confidencial o interrumpir el funcionamiento de la infraestructura de firewall administrada.

Versiones afectadas

Afecta al software Cisco Secure FMC y a la gestión de firewalls Cisco Security Cloud Control (SCC), independientemente de la configuración del dispositivo.

Recomendaciones

Aplicar los parches de seguridad proporcionados por el fabricante.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
• https://aws.amazon.com/es/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/
• https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html

Vulnerabilidades críticas - 16/04

Introducción

CVE-2026-20184, CVE-2026-20147, CVE-2026-20180 y CVE-2026-20186 corresponden a fallos de seguridad críticos que afectan a soluciones corporativas de Cisco ampliamente utilizadas en entornos empresariales para la gestión de identidades, autenticación y control de acceso a la red. Reflejan debilidades significativas en mecanismos esenciales como la validación de entradas, la gestión de sesiones y la verificación de tokens de autenticación, lo que puede permitir desde la suplantación de usuarios hasta la ejecución remota de comandos en sistemas comprometidos. Debido a su elevada criticidad y al rol central que desempeñan los sistemas afectados dentro de la infraestructura de seguridad de las organizaciones, estas vulnerabilidades representan un riesgo considerable que puede comprometer tanto la seguridad interna como la continuidad operativa de los servicios.

Análisis

CVE-2026-20184 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2026-20184 es una falla crítica de seguridad que afecta a los servicios de colaboración de Cisco Webex, concretamente a su integración de autenticación mediante Single Sign-On (SSO) dentro del entorno de administración conocido como Control Hub.

El problema radica en una validación incorrecta de certificados durante el proceso de autenticación federada. Este tipo de fallo, catalogado dentro de la debilidad CWE-295 (Improper Certificate Validation), implica que el sistema no verifica adecuadamente la autenticidad de los certificados utilizados para validar los tokens de identidad. Como consecuencia, un atacante remoto puede aprovechar esta debilidad para manipular o falsificar tokens SSO y conseguir que el sistema los acepte como legítimos.

La explotación de esta vulnerabilidad no requiere autenticación previa ni interacción por parte del usuario, lo que la convierte en especialmente peligrosa. Un atacante únicamente necesita acceso a un endpoint expuesto del servicio para enviar un token malicioso. Si el sistema valida incorrectamente dicho token, el atacante puede suplantar la identidad de cualquier usuario dentro de la plataforma, incluyendo cuentas con privilegios elevados. Este escenario abre la puerta a un compromiso total del sistema, permitiendo el acceso a información sensible, la modificación de datos y la interrupción de servicios.

CVE-2026-20147 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9

CVE-2026-20147 es una falla crítica de seguridad que afecta a los sistemas de control de acceso a red de Cisco, concretamente a Cisco Identity Services Engine (ISE) y a su componente asociado ISE Passive Identity Connector (ISE-PIC).

Desde una perspectiva técnica, la vulnerabilidad se origina por una validación insuficiente de la entrada proporcionada por el usuario, un problema clásico dentro de las debilidades de tipo input validation. Este fallo permite que datos maliciosos enviados a través de solicitudes HTTP no sean correctamente filtrados o sanitizados. Como resultado, un atacante autenticado puede inyectar comandos arbitrarios en el sistema, lo que convierte esta vulnerabilidad en un caso claro de inyección de comandos con capacidad de ejecución remota.

El atacante debe disponer de credenciales administrativas válidas para explotar el fallo. Una vez autenticado, el atacante puede enviar peticiones HTTP especialmente diseñadas para ejecutar comandos directamente sobre el sistema operativo subyacente del dispositivo afectado.

CVE-2026-20180 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9

La vulnerabilidad CVE-2026-20180 es una falla crítica que afecta a Cisco Identity Services Engine (ISE). El problema se origina en una validación insuficiente de la entrada proporcionada por el usuario dentro de la interfaz de gestión del sistema. Este fallo permite que solicitudes HTTP especialmente manipuladas no sean correctamente filtradas ni sanitizadas, lo que abre la puerta a la inyección de comandos en el sistema operativo subyacente. Para poder explotarla, el atacante necesita contar al menos con credenciales de administrador en modo lectura, lo que la clasifica como una vulnerabilidad de tipo autenticado, aunque con privilegios relativamente bajos.

Una vez que el atacante dispone de acceso válido, puede enviar peticiones diseñadas específicamente para ejecutar comandos arbitrarios en el sistema operativo del dispositivo afectado. Esto no solo permite obtener acceso inicial a nivel de usuario dentro del sistema, sino que además puede conducir a una escalada de privilegios hasta obtener control total con permisos de root. En entornos donde Cisco ISE está desplegado en configuración de nodo único, la explotación también puede provocar una denegación de servicio, dejando el sistema inoperativo y afectando directamente a la autenticación de dispositivos en toda la red corporativa.

CVE-2026-20186 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9

CVE-2026-20186 se da cuando hay una validación insuficiente de la entrada suministrada por el usuario en determinadas peticiones HTTP dirigidas a la interfaz del sistema. Esta deficiencia en el filtrado de datos permite que un atacante autenticado envíe solicitudes especialmente manipuladas que contienen comandos del sistema operativo. Debido a esta incorrecta validación, el sistema procesa dichas entradas sin aplicar controles adecuados de seguridad, lo que deriva en un escenario de inyección de comandos sobre el sistema subyacente.

Para explotar esta vulnerabilidad, el atacante necesita disponer de credenciales con al menos privilegios de administración en modo de solo lectura dentro del entorno afectado. Aunque este requisito introduce una barrera inicial, en entornos corporativos sigue considerándose un riesgo significativo, ya que el compromiso de cuentas de bajo nivel administrativo puede formar parte de cadenas de ataque más amplias. Una vez autenticado, el atacante puede enviar peticiones HTTP diseñadas para ejecutar instrucciones arbitrarias en el sistema operativo del dispositivo comprometido.

Referencias

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-4fverepv
• https://thehackernews.com/2026/04/cisco-patches-four-critical-identity.html