La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes tres nuevas vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) luego de informes de explotación activa.
Aquí está la lista de vulnerabilidades:
CVE-2026-20245 (Puntuación CVSS: 7,8): una codificación inadecuada o una vulnerabilidad de escape en la salida de Cisco Catalyst SD-WAN Manager podría permitir que un atacante local autenticado ejecute comandos arbitrarios como root proporcionando un archivo manipulado a un sistema afectado. CVE-2026-11645 (puntuación CVSS: 8,8): una vulnerabilidad de lectura y escritura fuera de límites en Google Chrome V8 podría permitir a un atacante remoto ejecutar código arbitrario dentro de un sandbox a través de una página HTML diseñada. CVE-2026-7473 (Puntuación CVSS: 6,9): comparación incompleta con la vulnerabilidad de elemento faltante del sistema operativo extendido (EOS) Arista. Puede explotarse para manejar el tráfico de túneles no configurados.
No se planean parches que exploten las fallas de Arista EOS
«En las plataformas afectadas que ejecutan Arista EOS donde están presentes configuraciones de decapsulación de túnel como VXLAN (LAN extensible virtual), grupos de decap o interfaces de túnel GRE (encapsulación de enrutamiento genérico), el conmutador decapsula y reenvía incorrectamente otros paquetes de túnel inesperados con IP de destino que coinciden con la IP de decapsulación configurada», dijo Arista.
«Esto ocurre porque el conmutador no valida el tipo de protocolo del túnel, lo que puede provocar un manejo inesperado del tráfico del túnel no configurado».
Esta falla de seguridad afecta principalmente a los productos de las series 7020R, 7280R/R2 y 7500R/R2. Sin embargo, para que se produzca un exploit exitoso, el dispositivo debe configurarse como un punto final de túnel con una IP decapsulada, como un VXLAN VTEP, un punto final de túnel GRE o un grupo de encapsulación de IP.
La compañía de equipos de red reconoció que la vulnerabilidad «se ha informado que ha sido explotada en la naturaleza» y reconoció que Scott Christiansen, Lucas Peitz, Rich Compton y Jonathan Davis de Comcast fueron responsables de revelar la vulnerabilidad.
Sin embargo, Arista dijo que no se planea ningún parche para abordar CVE-2026-7473, citando el riesgo de que su implementación pueda romper las configuraciones existentes. La compañía ha delineado medidas de mitigación para abordar este problema.
«Hay dos enfoques principales para mitigar este problema: (1) aplicar una ACL al dispositivo ascendente o (2) aplicar una ACL al dispositivo que experimenta una decapsulación inesperada», dijo Arista. «En ambos casos, la idea es permitir selectivamente sólo el tráfico de túnel legítimo o bloquear selectivamente el tráfico de túnel malicioso».
Se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones o mitigaciones necesarias antes del 23 de junio de 2026 para contrarrestar la amenaza planteada por las tres vulnerabilidades.
Source link
