Mastodon Mastodon Mastodon Mastodon

Fortinet, Ivanti y SAP corrigen vulnerabilidades críticas de ejecución remota

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Tres grandes proveedores — Fortinet, Ivanti y SAP — han publicado simultáneamente actualizaciones de seguridad que corrigen en conjunto siete vulnerabilidades críticas con puntuaciones CVSS de 9.0 a 10.0. La más peligrosa de ellas, CVE-2026-10520 en Ivanti Sentry, ha recibido la puntuación máxima de 10.0 y permite que un atacante no autenticado obtenga ejecución remota de código con privilegios de root. Todas las vulnerabilidades permiten la ejecución de código arbitrario o el acceso no autorizado a datos. Por el momento no se ha observado explotación en ataques reales, pero para CVE-2026-10520 se han publicado detalles técnicos de explotación, lo que incrementa considerablemente el riesgo. Las organizaciones que utilizan los productos afectados deben instalar las actualizaciones con carácter prioritario.

Fortinet FortiSandbox: inyección de comandos del sistema operativo sin autenticación

Según el boletín Fortinet PSIRT, la vulnerabilidad CVE-2026-25089 (CVSS 9.1) pertenece a la clase CWE-78 — neutralización incorrecta de elementos especiales utilizados en comandos del sistema operativo. Un atacante sin autenticación puede ejecutar comandos arbitrarios del sistema operativo mediante solicitudes HTTP especialmente diseñadas dirigidas a la interfaz web de FortiSandbox.

Productos y versiones afectados:

  • FortiSandbox 5.0.0–5.0.5 → actualizar a 5.0.6 o superior
  • FortiSandbox 4.4.0–4.4.8 → actualizar a 4.4.9 o superior
  • FortiSandbox Cloud 5.0.4–5.0.5 → actualizar a 5.0.6 o superior
  • FortiSandbox PaaS 5.0.4–5.0.5 → actualizar a 5.0.6 o superior

FortiSandbox es un componente clave de la infraestructura de protección frente a malware, y la compromisión de esta solución puede dar al atacante acceso a las muestras analizadas y a la red interna de la organización.

Ivanti Sentry: criticidad máxima y análisis público de explotación

Ivanti ha publicado correcciones para dos vulnerabilidades en Ivanti Sentry (anteriormente MobileIron Sentry), que afectan a versiones anteriores a R10.5.2, R10.6.2 y R10.7.1:

  • CVE-2026-10520 (CVSS 10.0) — inyección de comandos del sistema operativo que permite a un atacante no autenticado obtener ejecución remota de código con privilegios de root.
  • CVE-2026-10523 (CVSS 9.9) — bypass de autenticación que permite a un atacante no autenticado crear cuentas administrativas arbitrarias y obtener acceso administrativo completo.

Según los investigadores de watchTowr Labs, la explotación de CVE-2026-10520 se realiza enviando una solicitud HTTP especialmente diseñada al endpoint /mics/api/v2/sentry/mics-config/handleMessage. La solicitud se interpreta como un comando de configuración de MICS y la ejecuta el componente de servidor handleExecute(). El investigador Sonny McDonald señaló que el parche de Ivanti implementa una protección de dos niveles: redirigir las solicitudes no autenticadas a la página de inicio de sesión y bloquear el acceso al endpoint vulnerable, añadiendo de facto autenticación donde antes no la había.

La combinación de CVE-2026-10520 y CVE-2026-10523 es especialmente peligrosa: el bypass de autenticación puede utilizarse para establecerse de forma persistente en el sistema tras la compromisión inicial mediante la inyección de comandos, creando una puerta trasera persistente con privilegios administrativos.

SAP: cuatro vulnerabilidades críticas en plataformas clave

Como parte de la actualización de seguridad de junio, SAP ha corregido cuatro vulnerabilidades críticas:

  • CVE-2026-44748 (CVSS 9.9) — suplantación de firmas XML en el mecanismo de autenticación SAML en SAP NetWeaver AS ABAP y ABAP Platform. Según Onapsis, un atacante autenticado con privilegios normales puede obtener un mensaje firmado válido, modificar los datos de identificación en el documento XML y enviarlo al verificador. Debido a una validación incorrecta de la firma XML, se aceptan los datos modificados, lo que conduce a un acceso no autorizado a datos confidenciales de los usuarios.
  • CVE-2026-27671 (CVSS 9.8) — corrupción de memoria en Application Server ABAP. Un atacante no autenticado puede enviar una solicitud RFC especialmente diseñada, aprovechando la validación incorrecta del protocolo RFC por parte del núcleo de SAP.
  • CVE-2026-22732 (CVSS 9.1) — vulnerabilidad de Spring Security en SAP Commerce Cloud y SAP Data Hub.
  • CVE-2026-40128 (CVSS 9.0) — directory traversal en SAP NetWeaver Application Server Java (Web Container).

La vulnerabilidad CVE-2026-44748 merece especial atención por parte de las organizaciones que utilizan autenticación SAML con SAP: un ataque exitoso permite suplantar la identidad del usuario, lo que puede derivar en la compromisión de cuentas con privilegios en el sistema ERP.

Evaluación de riesgos y recomendaciones

Ninguna de las vulnerabilidades mencionadas figura en el catálogo CISA KEV en el momento de la publicación, y no se han registrado casos confirmados de explotación en ataques reales. Sin embargo, la publicación de detalles técnicos de explotación de CVE-2026-10520 por parte de los investigadores de watchTowr Labs reduce significativamente el tiempo hasta la aparición de exploits funcionales.

Prioridades de actualización:

  1. Prioridad máxima — Ivanti Sentry: actualizar a R10.5.2, R10.6.2 o R10.7.1, según la rama utilizada. La existencia de un análisis público de explotación con una puntuación CVSS máxima de 10.0 convierte esta vulnerabilidad en la más urgente.
  2. Alta prioridad — FortiSandbox: actualizar a las versiones 5.0.6 o 4.4.9, respectivamente. La vulnerabilidad no requiere autenticación y se explota a través de HTTP.
  3. Alta prioridad — SAP NetWeaver y productos relacionados: instalación de las correcciones correspondientes del paquete de actualizaciones de junio de SAP. Atención especial a los sistemas con autenticación SAML (CVE-2026-44748) y a las interfaces RFC expuestas públicamente (CVE-2026-27671).

Como medida temporal para Ivanti Sentry, se recomienda limitar el acceso de red al endpoint /mics/api/v2/sentry/mics-config/handleMessage mediante un firewall o reverse proxy hasta la instalación del parche.

La coincidencia en el calendario de publicación de actualizaciones críticas por parte de los tres proveedores aumenta la carga sobre los equipos de seguridad. Teniendo en cuenta la existencia de un análisis público de explotación para Ivanti Sentry y la ausencia de autenticación como barrera en la mayoría de las vulnerabilidades descritas, la instalación de los parches debería completarse en un plazo de 48–72 horas, comenzando por Ivanti Sentry y FortiSandbox como objetivos más probables para los atacantes.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio