Vulnerabilidades críticas en Cisco 2026
Vulnerabilidad crítica - 22/01
Introducción
CVE-2026-20045 es una vulnerabilidad de ejecución remota de código que está siendo activamente explotada.
Análisis
CVE-2026-20045 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N- 8,2
CVE-2026-20045 se origina por validación incorrecta de datos de entrada en solicitudes HTTP a la interfaz web de administración de los dispositivos afectados. Un atacante no autenticado y remoto puede enviar una serie de peticiones maliciosas para desencadenar la ejecución de comandos arbitrarios en el sistema operativo subyacente. De esta manera, si se explota con éxito, el atacante podría obtener acceso a nivel de sistema operativo y tener el control total del dispositivo.
Versiones afectadas
- CM unificado ( CSCwr21851 )
- CM SME unificado ( CSCwr21851 )
- CM IM&P unificado ( CSCwr29216 )
- Conexión de Unity ( CSCwr29208 )
- Instancia dedicada de Webex Calling ( CSCwr21851 )
Recomendaciones
Instalar las actualizaciones de software publicadas por Cisco.
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b
- https://www.incibe.es/index.php/incibe-cert/alerta-temprana/vulnerabilidades/cve-2026-20045
- https://www.cisa.gov/news-events/alerts/2026/01/21/cisa-adds-one-known-exploited-vulnerability-catalog
- https://thehackernews.com/2026/01/cisco-fixes-actively-exploited-zero-day.html
Vulnerabilidad crítica - 26/02
Introducción
Cisco Systems ha publicado un aviso de seguridad crítico sobre la vulnerabilidad CVE-2026-20127 que afecta a Cisco Catalyst SD-WAN Controller y SD-WAN Manager (antes vSmart y vManage). La falla permite a un atacante remoto no autenticado eludir el proceso de autenticación y obtener privilegios administrativos completos en los dispositivos afectados, lo que compromete la integridad y el control de la infraestructura SD-WAN. Cisco ha confirmado que la vulnerabilidad está siendo explotada activamente y ha publicado actualizaciones de software para corregir el problema.
Análisis
CVE-2026-20127 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H -10
CVE-2026-20127 consiste en un fallo de validación en el mecanismo de autenticación de los componentes de gestión, como el Controller y el Manager. Debido a una implementación incorrecta en la verificación de las solicitudes entrantes, el sistema puede aceptar peticiones manipuladas sin comprobar adecuadamente si el usuario está autenticado. Esto permite que un atacante remoto envíe solicitudes especialmente diseñadas al servicio expuesto y consiga que el dispositivo las procese como si provinieran de un usuario con sesión válida y pueda obtener privilegios administrativos completos sin necesidad de credenciales legítimas. De esta manera, el atacante puede modificar configuraciones, alterar políticas de enrutamiento, crear nuevas cuentas o incluso redirigir el tráfico de la red, comprometiendo la integridad y disponibilidad de toda la infraestructura SD-WAN. La gravedad de esta vulnerabilidad radica en que no requiere autenticación previa, puede explotarse de forma remota y afecta directamente al plano de control de la red, lo que justifica su calificación crítica y la necesidad de aplicar las actualizaciones de seguridad de forma inmediata.
Versiones afectadas
- Implementación local
- Nube SD-WAN alojada por Cisco
- Nube SD-WAN alojada por Cisco - Gestionada por Cisco
- Nube SD-WAN alojada por Cisco - Entorno FedRAMP
Recomendaciones
- Actualizar el software
- Evitar el acceso al sistema desde redes no seguras
- Proteger los componentes de control de Cisco Catalyst SD-WAN con un dispositivo de filtrado
- Monitorear el tráfico de los registros web para detectar cualquier tráfico inesperado hacia y desde los sistemas
- Deshabilitar HTTP para el portal de administrador de la interfaz de usuario web de Cisco Catalyst SD-WAN Manager, así como cualquier servicio de red que no sea necesario
- Cambiar la contraseña de administrador predeterminada por una más segura
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
- https://www.cyber.gc.ca/en/alerts-advisories/al26-004-critical-vulnerability-affecting-cisco-catalyst-sd-wan-cve-2026-20127
- https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/exploitation-of-cisco-sd-wan-appliances
- https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html
Vulnerabilidad crítica - 19/03
Introducción
CVE-2026-20131 es falla crítica de seguridad que afecta a Cisco Secure Firewall Management Center (FMC), un componente central en la administración de infraestructuras de firewall empresariales. Se trata de una vulnerabilidad de ejecución remota de código (RCE) que puede ser explotada sin necesidad de autenticación previa, lo que incrementa significativamente su gravedad y exposición.
El problema radica en un mecanismo de deserialización insegura, lo que permite a un atacante enviar datos manipulados específicamente diseñados para ejecutar código arbitrario en el sistema afectado. Como consecuencia , un actor malicioso podría obtener ejecución de comandos con privilegios de superusuario (root), comprometiendo por completo la integridad del dispositivo.
Algunas fuentes advierten de que esta vulnerabilidad está siendo explotada por Interlock Ransomware.
Análisis
CVE-2026-20131 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10
CVE-2026-20131 se clasifica como crítica debido a su capacidad de permitir ejecución remota de código sin necesidad de autenticación. Esta falla se origina en un manejo inseguro de objetos serializados en la interfaz web del sistema. Durante su funcionamiento normal, la aplicación recibe objetos serializados para procesar información compleja; sin embargo, el sistema no valida correctamente el contenido de estos objetos antes de deserializarlos, lo que puede propiciar que un atacante inserte código malicioso.
El proceso de explotación consiste en enviar un objeto especialmente manipulado a la interfaz web vulnerable. Al deserializarlo, el sistema ejecuta de manera automática las instrucciones contenidas en el objeto, otorgando al atacante la capacidad de ejecutar comandos con privilegios elevados. Esta vulnerabilidad no requiere interacción del usuario ni credenciales, por lo que cualquier instancia del sistema accesible desde redes no confiables representa un riesgo inmediato.
El impacto de la explotación es significativo. Un atacante podría obtener control total del dispositivo, modificar políticas de seguridad, acceder a información confidencial o interrumpir el funcionamiento de la infraestructura de firewall administrada.
Versiones afectadas
Afecta al software Cisco Secure FMC y a la gestión de firewalls Cisco Security Cloud Control (SCC), independientemente de la configuración del dispositivo.
Recomendaciones
Aplicar los parches de seguridad proporcionados por el fabricante.
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
- https://aws.amazon.com/es/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/
- https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html