Ivanti, Fortinet y SAP lanzan parches para múltiples vulnerabilidades críticas

-

Fortinet, Ivanti y SAP han publicado actualizaciones de seguridad para abordar múltiples vulnerabilidades críticas que podrían resultar en ejecución de código arbitrario y divulgación de información. Estas vulnerabilidades afectan a varios productos y versiones de las empresas mencionadas.

Fortinet, Ivanti y SAP han lanzado actualizaciones de seguridad para abordar múltiples vulnerabilidades críticas que podrían resultar en ejecución de código arbitrario y divulgación de información. La vulnerabilidad de seguridad parcheada por Fortinet se relaciona con una vulnerabilidad de inyección de comandos en FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS WEB UI. Se rastrea como CVE-2026-25089 (puntuación CVSS: 9.1).

«Una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo [CWE-78] en FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS WEB UI puede permitir a un atacante no autenticado ejecutar comandos no autorizados a través de solicitudes HTTP especialmente elaboradas», afirmó Fortinet.

El problema afecta a los siguientes productos y versiones: FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS WEB UI. El martes, Ivanti también publicó correcciones para dos vulnerabilidades críticas que afectan a Ivanti Sentry (anteriormente MobileIron Sentry).

watchTowr Labs, que publicó detalles adicionales de CVE-2026-10520, indicó que un atacante podría explotar la vulnerabilidad emitiendo una solicitud HTTP especialmente elaborada al endpoint «/mics/api/v2/sentry/mics-config/handleMessage», que luego se interpreta como un comando de configuración MICS y es ejecutado por un componente de backend llamado «handleExecute()».

El parche enviado por Ivanti incorpora controles adicionales que bloquean el acceso al endpoint vulnerable, haciendo que las solicitudes no autenticadas sean redirigidas a la página de inicio de sesión. «Ivanti no solo eliminó el control del atacante sobre la ruta de ejecución vulnerable», dijo el investigador de seguridad Sonny Macdonald. «También añadieron una capa de protección delante de ella para hacer que alcanzar el endpoint sea significativamente más difícil. En otras palabras: añadieron autenticación».

Por último, SAP lanzó correcciones para cuatro vulnerabilidades críticas en NetWeaver AS ABAP y ABAP Platform, así como en SAP Commerce Cloud y SAP Data Hub. «La aplicación permite a un atacante autenticado con privilegios normales obtener un mensaje firmado válido y enviar documentos XML firmados modificados con información de identidad alterada al verificador», dijo la empresa de seguridad SAP Onapsis.

«Debido a una verificación inadecuada de la firma XML, la información de identidad manipulada es aceptada, lo que lleva a un acceso no autorizado a datos sensibles de usuarios y a una posible interrupción del uso normal del sistema». En cuanto a CVE-2026-27671, el defecto permite a un atacante no autenticado enviar una solicitud RFC elaborada que explota cómo el núcleo de SAP valida el protocolo RFC para lograr corrupción de memoria.

No hay evidencia de que ninguna de las vulnerabilidades mencionadas haya sido explotada activamente. Sin embargo, siempre es una práctica segura actualizar a la última versión para una protección óptima.

Fuente:
https://thehackernews.com/2026/06/ivanti-fortinet-and-sap-release-patches.html

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

ANCI investiga presunta filtración masiva de datos que afectaría a la Tesorería General de la República, al Registro Civil y a la ClaveÚnica

-
Santiago, 2 de mayo de 2026. — La Agencia Nacional de Ciberseguridad (ANCI) confirmó que se encuentra analizando reportes de una presunta actividad maliciosa que comprometería sistemas de organismos del Estado y operadores de telecomunicaciones en Chile, luego de que la firma de inteligencia cibernética VECERT Analyzer alertara públicamente sobre una brecha de alto impacto dirigida contra la Tesorería General de la República (TGR), el Registro Civil y servicios asociados a la ClaveÚnica. El actor de amenaza identificado bajo el alias "rutify" habría difundido en grupos especializados de Telegram registros que sugieren la filtración de datos sensibles durante las últimas 48 horas, según la alerta original publicada por VECERT en su cuenta oficial de X. Qué denuncia el reporte de VECERT De acuerdo con el análisis técnico difundido por la firma, las muestras filtradas corresponderían a solicitud...
Leer más

Análisis de impacto: El Modelo Mythos y el Panorama de la Ciberseguridad

-
El 7 de abril de 2026, Anthropic anunció Claude Mythos Preview , su modelo de mayor capacidad hasta la fecha. Paralelamente, el análisis Eye on the Market de J.P. Morgan (Cembalest, 13 de abril) ofrece una lectura técnico-financiera sobre sus implicaciones. Este artículo sintetiza ambas fuentes con énfasis en los vectores de amenaza más relevantes para infraestructuras críticas y entornos empresariales. Evolución del Rendimiento Mythos supera a sus predecesores en el Epoch Capabilities Index —un índice compuesto por 40 benchmarks independientes— con una aceleración sin precedente en el histórico de la plataforma. Resulta especialmente notable que supere a versiones lanzadas hace apenas dos meses, señalando una compresión del ciclo de mejora. 73% Tasa de éxito en CTFs de nivel experto (AISI) 24/32 Pasos promedio completados en ataque corporativo simulado +1000 Zero-days identificados en semanas de us...
Leer más

Patch Tuesday: Vulnerabilidad de Ejecución Remota de Código en Microsoft Message Queuing

-
Imagen
La vulnerabilidad de Windows tiene un puntaje de severidad CVSS de 9.8/10 y puede ser explotada mediante paquetes maliciosos MSMQ especialmente diseñados. El gigante del software Microsoft instó el martes a los administradores de Windows a prestar atención urgente a los parches para una vulnerabilidad crítica de ejecución remota de código en el componente Microsoft Message Queuing (MSMQ). La vulnerabilidad, identificada como CVE-2024-30080 , tiene un puntaje de severidad CVSS de 9.8/10 y puede ser explotada por un atacante que envíe paquetes maliciosos MSMQ especialmente diseñados a un servidor MSMQ. "Esto podría resultar en la ejecución remota de código en el lado del servidor", advirtió el equipo de respuesta de seguridad de Redmond en un aviso. Microsoft dijo que el servicio de cola de mensajes de Windows necesita estar habilitado para que un sistema sea explotable por esta vulnerabilidad e instó a los clientes a verificar si hay un servicio en ejecución llamado Message Qu...
Leer más