El 5 de junio de 2026 CISA incluyó la vulnerabilidad CVE-2026-28318 (CVSS 7.5) en el catálogo Known Exploited Vulnerabilities, confirmando el hecho de su explotación activa. La vulnerabilidad afecta a SolarWinds Serv-U, un servidor de archivos multiprotocolo ampliamente utilizado para la transferencia de archivos en entornos corporativos. Un atacante no autenticado puede provocar una denegación de servicio completa mediante una solicitud HTTP especialmente diseñada. Las organizaciones que utilizan Serv-U deben instalar de inmediato la corrección a la versión 15.5.4 HF1 o aplicar medidas de mitigación alternativas.
Análisis técnico de la vulnerabilidad
CVE-2026-28318 se clasifica como una vulnerabilidad de consumo no controlado de recursos (CWE-400), que conduce a una condición de denegación de servicio. Según el boletín de seguridad de SolarWinds, el vector de ataque es extremadamente sencillo: una solicitud POST especialmente formada con la cabecera Content-Encoding: deflate, dirigida al servicio Serv-U, provoca la terminación anómala del proceso.
Las características clave de la vulnerabilidad son:
- No se requiere autenticación — el ataque es posible sin ningún tipo de credenciales
- Puntuación CVSS: 7.5 (nivel de gravedad alto)
- Producto afectado: SolarWinds Serv-U (servidor de archivos multiprotocolo)
- Corregida en: versión 15.5.4 HF1
- Estado de explotación: incluida en el catálogo CISA KEV (explotación activa confirmada)
Llama la atención el bajo umbral de entrada para su explotación. La cabecera Content-Encoding: deflate es una cabecera HTTP estándar y, para construir la solicitud maliciosa, no se requiere ni un conjunto de herramientas complejo ni conocimientos técnicos profundos. Al mismo tiempo, el propio servicio Serv-U, tal como indica el proveedor, no necesita procesar esta cabecera, lo que convierte su presencia en la solicitud en un indicador fiable de actividad anómala.
Contexto de la amenaza
En el momento de la publicación no existen detalles públicos sobre escenarios concretos de explotación de CVE-2026-28318. No se ha establecido qué grupos están detrás de los ataques ni cuántas instancias de Serv-U accesibles desde internet han sido comprometidas.
No obstante, el contexto histórico merece atención. El producto SolarWinds Serv-U ha sido en repetidas ocasiones un objetivo para los atacantes. En particular, la vulnerabilidad CVE-2021-35211 fue utilizada por el grupo TA505, vinculado a los operadores del ransomware Cl0p, para obtener acceso inicial a los sistemas objetivo. Es importante subrayar que, por el momento, no se ha confirmado una relación directa entre la explotación actual de CVE-2026-28318 y ningún grupo concreto.
Sin embargo, el propio hecho del renovado interés de los atacantes por Serv-U configura un patrón persistente: los servidores de archivos utilizados para la transferencia de datos siguen siendo un objetivo prioritario. A menudo son accesibles desde internet, procesan datos confidenciales y con frecuencia se ejecutan sobre versiones obsoletas de software.
Evaluación del impacto
A primera vista, una vulnerabilidad de tipo «denegación de servicio» puede parecer menos crítica en comparación con una ejecución remota de código. Sin embargo, en el contexto de un servidor de archivos que proporciona transferencia de datos en una organización, las consecuencias pueden ser significativas:
- Interrupción de procesos de negocio: parada del intercambio de archivos entre departamentos, socios y clientes
- Componente de un ataque complejo: una vulnerabilidad de DoS puede utilizarse como maniobra de distracción durante una intrusión paralela a través de otros vectores o para forzar el reinicio del servicio en una configuración vulnerable
- Repetibilidad: la ausencia de requisitos de autenticación permite automatizar el ataque y mantener el servicio fuera de servicio de forma indefinida
Corren el mayor riesgo las organizaciones en las que las instancias de Serv-U son accesibles directamente desde internet sin mecanismos adicionales de filtrado de tráfico. Las agencias federales civiles de Estados Unidos están obligadas a eliminar la vulnerabilidad antes del 19 de junio de 2026 en el marco de la directiva de CISA.
Recomendaciones de protección
La prioridad de respuesta es alta. Acciones recomendadas:
- Instale la actualización: actualice SolarWinds Serv-U a la versión 15.5.4 HF1, en la que la vulnerabilidad ha sido corregida
- Bloquee la cabecera a nivel de red: si no es posible actualizar de inmediato, configure un servidor proxy inverso o un WAF para bloquear las solicitudes entrantes que contengan la cabecera
Content-Encoding. Según las recomendaciones del proveedor, el servicio Serv-U no utiliza esta funcionalidad, por lo que el bloqueo no afectará a su funcionamiento legítimo - Limite el acceso de red: permita conexiones a Serv-U solo desde direcciones IP de confianza conocidas. Si el servicio debe ser accesible desde internet, utilice listas de direcciones permitidas
- Revise los registros: analice los logs del servidor web en busca de solicitudes POST con la cabecera
Content-Encoding: deflate, especialmente si proceden de orígenes desconocidos y preceden a caídas del servicio - Evalúe la necesidad de acceso externo: considere la posibilidad de situar Serv-U detrás de una VPN, si el acceso directo desde internet no es un requisito imprescindible
La inclusión de CVE-2026-28318 en el catálogo CISA KEV en ausencia de detalles públicos sobre su explotación indica que los ataques ya se han registrado, pero la información sobre ellos aún no se ha divulgado por completo. Las organizaciones no deben esperar a la publicación de informes detallados de incidentes: la actualización a la versión 15.5.4 HF1 o el bloqueo de la cabecera Content-Encoding a nivel de red deben implementarse en cuestión de días, no de semanas.
