El 9 de junio de 2026, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) añadió tres vulnerabilidades al catálogo Known Exploited Vulnerabilities (KEV), confirmando el hecho de su explotación activa. Entre ellas se encuentran un fallo crítico en el equipamiento de red de Arista, para el cual el fabricante se ha negado expresamente a publicar un parche, una vulnerabilidad en Cisco Catalyst SD-WAN Manager que permite la ejecución de comandos con privilegios de root y un error en el motor V8 del navegador Google Chrome que posibilita la ejecución remota de código. Se ha ordenado a las agencias federales de EE. UU. mitigar estas amenazas antes del 23 de junio de 2026.
Detalles técnicos de las vulnerabilidades
CVE-2026-20245 — Cisco Catalyst SD-WAN Manager
La vulnerabilidad CVE-2026-20245 (CVSS 7.8) está relacionada con un tratamiento incorrecto del codificado o escapado de la salida en Cisco Catalyst SD-WAN Manager. Según la información disponible, un atacante local autenticado puede ejecutar comandos arbitrarios con privilegios de root enviando un archivo especialmente manipulado al sistema vulnerable. A pesar de requerir acceso local y autenticación, la escalada a root convierte esta vulnerabilidad en una amenaza grave para las organizaciones que utilizan infraestructura SD-WAN de Cisco.
CVE-2026-11645 — Google Chrome V8
La vulnerabilidad CVE-2026-11645 (CVSS 8.8) consiste en un error de lectura y escritura fuera de los límites del búfer asignado en el motor JavaScript V8 del navegador Google Chrome. Según se ha informado, un atacante remoto puede lograr la ejecución de código arbitrario dentro de la sandbox del navegador mediante una página HTML especialmente diseñada. Es la puntuación CVSS más alta entre las tres vulnerabilidades añadidas, y el vector de ataque —a través de una página web— la convierte en potencialmente masiva.
CVE-2026-7473 — Arista EOS
La vulnerabilidad CVE-2026-7473 (CVSS 6.9) afecta a Arista Extensible Operating System (EOS) y merece especial atención debido a la decisión del proveedor de no publicar un parche. El problema se clasifica como una comparación incompleta que omite ciertos factores de verificación: en las plataformas afectadas que tengan configurada la decapsulación de túneles (VXLAN, GRE o grupos de decapsulación), el conmutador procesa y reenvía de forma incorrecta paquetes tunelizados inesperados si su dirección IP de destino coincide con la dirección IP de decapsulación configurada.
La causa raíz es que el conmutador no verifica el tipo de protocolo de túnel, lo que provoca el procesamiento de tráfico tunelizado ilegítimo. Se ven afectadas las siguientes series de equipos:
- Arista 7020R
- Arista 7280R/R2
- Arista 7500R/R2
Para que la explotación tenga éxito, el dispositivo debe estar configurado como punto final del túnel con una dirección IP de decapsulación, por ejemplo como un VXLAN VTEP, un punto final de túnel GRE o con un grupo de decapsulación IP configurado.
Negativa de Arista a publicar un parche: análisis de la situación
El aspecto más atípico de este incidente es la posición oficial de Arista: la compañía ha confirmado que CVE-2026-7473 se está explotando en ataques reales, sin embargo ha declarado que no se publicará un parche. La razón es el riesgo de interrumpir el funcionamiento de las configuraciones existentes en los entornos desplegados. El descubrimiento de la vulnerabilidad se atribuye a los investigadores de Comcast: Scott Christiansen, Lucas Peitz, Rich Compton y Jonathan Davis.
Esto coloca a los operadores de equipamiento de red de Arista en una situación complicada: la vulnerabilidad se explota activamente, se ha incluido en el catálogo KEV, pero el único modo de protección es aplicar manualmente medidas de mitigación. Para las agencias federales de EE. UU., obligadas a cumplir la directiva BOD 22-01, esto implica la necesidad de implementar mitigaciones en plazos muy ajustados sin la posibilidad de simplemente instalar una actualización.
Evaluación del impacto
Las tres vulnerabilidades abarcan segmentos de infraestructura fundamentalmente distintos. CVE-2026-20245 amenaza a la gestión centralizada de SD-WAN: la compromisión del gestor puede dar al atacante control sobre toda la red definida por software. CVE-2026-11645 en Chrome V8 afecta prácticamente a cualquier organización que utilice un navegador basado en Chromium, aunque la ejecución de código está limitada por la sandbox. CVE-2026-7473 en Arista EOS supone una amenaza para centros de datos y grandes infraestructuras de red, donde las fábricas VXLAN y los túneles GRE son elementos estándar de la arquitectura.
La ausencia de un parche para Arista EOS crea un riesgo a largo plazo: las reglas ACL requieren un mantenimiento continuo y pueden estar mal configuradas, especialmente en entornos complejos con enrutamiento dinámico.
Recomendaciones prácticas
Para Arista EOS (CVE-2026-7473):
- Comprobar si el dispositivo está configurado como punto final de túnel (VXLAN VTEP, extremo GRE, IP decap-group)
- Aplicar listas de control de acceso (ACL) en los dispositivos ascendentes para filtrar el tráfico tunelizado ilegítimo
- Como alternativa, configurar ACL directamente en los conmutadores afectados para bloquear la decapsulación inesperada
- El objetivo de ambas estrategias es permitir únicamente el tráfico tunelizado legítimo o bloquear selectivamente el malicioso
Para Cisco SD-WAN Manager (CVE-2026-20245):
- Instalar la actualización de Cisco en cuanto esté disponible
- Restringir el acceso local a los sistemas de gestión SD-WAN y minimizar el número de cuentas con privilegios
- Supervisar la carga de archivos en la plataforma de gestión
Para Google Chrome (CVE-2026-11645):
- Actualizar Chrome y todos los navegadores basados en Chromium a la última versión disponible
- Verificar que los mecanismos de actualización automática estén activos en el entorno corporativo
Las organizaciones sujetas a los requisitos de CISA deben completar la aplicación de parches o mitigaciones para las tres vulnerabilidades antes del 23 de junio de 2026. Dado que no existe un parche para Arista EOS, la prioridad debe ser la comprobación inmediata de las configuraciones de los puntos finales de túnel en las series de equipos afectadas y el despliegue de filtrado mediante ACL; esta es la única medida de protección disponible frente a CVE-2026-7473 en este momento.
