SAP, n8n, Fortinet, Ivanti y VMware corrigen fallos críticos

Foto del autor

CyberSecureFox Editorial Team

En mayo de 2026, cinco grandes proveedores — Ivanti, Fortinet, SAP, n8n y Broadcom (VMware) — publicaron parches para 11 vulnerabilidades críticas con puntuaciones CVSS de entre 7.8 y 9.6. Las mayores amenazas son las vulnerabilidades en SAP S/4HANA y SAP Commerce (CVSS 9.6), así como cinco vulnerabilidades en la plataforma de automatización n8n (CVSS 9.4), que permiten lograr remote code execution. No hay datos sobre explotación real de estas vulnerabilidades en el momento de la publicación, pero las altas calificaciones de criticidad y la disponibilidad de los parches exigen una respuesta rápida.

SAP: SQL injection y bypass de autenticación con CVSS 9.6

SAP ha corregido dos vulnerabilidades críticas, confirmadas por las entradas en NVD:

  • CVE-2026-34260 (CVSS 9.6): SQL injection en SAP S/4HANA. Según Pathlock, la vulnerabilidad permite a un atacante autenticado con privilegios bajos inyectar código SQL malicioso a través de la entrada de usuario, lo que puede conducir a la exposición de datos confidenciales de la base de datos y al bloqueo del funcionamiento de la aplicación. Al mismo tiempo, el código vulnerable solo permite la lectura de datos, sin comprometer la integridad.
  • CVE-2026-34263 (CVSS 9.6): ausencia de verificación de autenticación en la configuración de SAP Commerce Cloud. De acuerdo con el análisis de Onapsis, la causa es una configuración de seguridad excesivamente permisiva con un orden incorrecto de reglas, lo que permite a un usuario no autenticado cargar una configuración maliciosa y ejecutar código de servidor arbitrario.

Ambas vulnerabilidades se describen en el boletín de mayo SAP Security Patch Day. CVE-2026-34263 es especialmente peligrosa: no requiere autenticación y abre la puerta a la ejecución completa de código arbitrario en el servidor.

n8n: cinco vulnerabilidades con remote code execution

La plataforma de automatización de flujos de trabajo n8n ha revelado cinco vulnerabilidades críticas, cada una con puntuación CVSS 9.4. Todas requieren autenticación y permisos para crear o modificar flujos de trabajo, pero si se cumplen estas condiciones permiten la completa compromisión del host:

  • CVE-2026-42231: contaminación de prototipo a través de la librería xml2js en el manejador de webhooks, que conduce a remote code execution mediante una carga XML especialmente diseñada.
  • CVE-2026-42232: contaminación global de prototipo a través del nodo XML, que provoca remote code execution en combinación con otros nodos.
  • CVE-2026-44791: bypass del parche para CVE-2026-42232, que vuelve a abrir la posibilidad de remote code execution.
  • CVE-2026-44789: contaminación global de prototipo a través de un parámetro de paginación no validado en el nodo HTTP Request.
  • CVE-2026-44790: inyección de flags de CLI en la operación Push del nodo Git, que permite leer archivos arbitrarios desde el servidor n8n y conduce a la compromisión total.

Es significativo que CVE-2026-44791 sea un bypass de un parche publicado anteriormente: un ejemplo clásico de cómo un parche inicial puede resultar insuficiente. Las correcciones para el primer par de vulnerabilidades se incluyen en las versiones 1.123.32, 2.17.4 y 2.18.1, y para las tres restantes en las versiones 1.123.43, 2.20.7 y 2.22.1.

Fortinet: ejecución de código sin autenticación

Fortinet ha publicado boletines sobre dos vulnerabilidades críticas, cada una con puntuación CVSS 9.1:

  • CVE-2026-44277: control de acceso incorrecto en FortiAuthenticator, que permite a un atacante no autenticado ejecutar código no autorizado mediante solicitudes especialmente diseñadas. Se ha corregido en las versiones 6.5.7, 6.6.9 y 8.0.3.
  • CVE-2026-26083: ausencia de autorización en la interfaz web de FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS, que permite a un atacante no autenticado ejecutar código mediante solicitudes HTTP. Se ha corregido en FortiSandbox 4.4.9 y 5.0.2, FortiSandbox Cloud 5.0.6 y FortiSandbox PaaS 4.4.9 y 5.0.2.

Ninguna de las dos vulnerabilidades requiere autenticación, lo que incrementa considerablemente el riesgo. Los productos de Fortinet son tradicionalmente un objetivo atractivo para los atacantes, ya que se despliegan en el perímetro de la red.

Ivanti Xtraction y VMware Fusion

Según se indica en el boletín de Ivanti, la vulnerabilidad CVE-2026-8043 (CVSS 9.6) en Ivanti Xtraction hasta la versión 2026.2 permite a un atacante remoto autenticado leer archivos confidenciales y escribir archivos HTML arbitrarios en el directorio web. Esto conduce a la exposición de información y a posibles ataques del lado del cliente.

Broadcom ha corregido la vulnerabilidad CVE-2026-41702 (CVSS 7.8) en VMware Fusion. De acuerdo con el boletín de Broadcom, se trata de una vulnerabilidad de tipo TOCTOU (Time-of-check Time-of-use) que surge durante una operación ejecutada por un binario con el flag SETUID. Un usuario local sin privilegios administrativos puede escalar sus permisos hasta root. La corrección se ha incluido en la versión 26H1.

Recomendaciones de priorización

Al planificar las actualizaciones, se recomienda el siguiente orden de prioridades:

  1. Prioridad más alta: vulnerabilidades de Fortinet (CVE-2026-44277, CVE-2026-26083) y SAP Commerce (CVE-2026-34263), que no requieren autenticación y permiten ejecutar código arbitrario.
  2. Alta prioridad: vulnerabilidades de n8n (las cinco CVE), que requieren autenticación pero conducen a la completa compromisión del host; SAP S/4HANA (CVE-2026-34260), una SQL injection con acceso a datos.
  3. Prioridad estándar: Ivanti Xtraction (CVE-2026-8043), que requiere autenticación y está limitada a la exposición de información; VMware Fusion (CVE-2026-41702), que requiere acceso local.

Para todas las vulnerabilidades mencionadas, los parches ya están disponibles. Las organizaciones que utilicen los productos afectados deben aplicar las actualizaciones en las próximas 24–72 horas para las vulnerabilidades de la primera prioridad y dentro del ciclo estándar de actualizaciones para el resto. Debe prestarse especial atención a los productos de Fortinet en el perímetro de red: la ausencia de requisito de autenticación, combinada con la posibilidad de ejecución de código, convierte a estas vulnerabilidades en los candidatos más probables para los primeros intentos de explotación.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio