La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado tres nuevas vulnerabilidades en sus vulnerabilidades explotadas conocidas (KEV) catálogo, tras informes de explotación activa.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-20245 (Puntuación CVSS: 7,8): una codificación inadecuada o una vulnerabilidad de escape de salida en Cisco Catalyst SD-WAN Manager que podría permitir a un atacante local autenticado ejecutar comandos arbitrarios como root suministrando un archivo manipulado al sistema afectado.
• CVE-2026-11645 (Puntuación CVSS: 8,8): una vulnerabilidad de lectura y escritura fuera de límites en Google Chrome V8 que podría permitir a un atacante remoto ejecutar código arbitrario dentro de un entorno limitado a través de una página HTML diseñada.
• CVE-2026-7473 (Puntuación CVSS: 6,9): una comparación incompleta con la vulnerabilidad de factores faltantes en el sistema operativo extensible (EOS) Arista que podría explotarse para procesar el tráfico de túnel no configurado.

No se planea ningún parche para la falla explotada de Arista EOS

«En las plataformas afectadas que ejecutan Arista EOS donde hay una configuración de decapsulación de túnel, como VXLAN (LAN extensible virtual), grupos decap o una interfaz de túnel GRE (encapsulación de enrutamiento genérico), el conmutador decapsulará y reenviará incorrectamente otros paquetes tunelizados inesperados con una IP de destino que coincida con su IP de decapsulación configurada», dijo Arista.

«Esto ocurre porque el conmutador no verifica el tipo de protocolo del túnel, lo que podría provocar un procesamiento inesperado del tráfico del túnel no configurado».

El defecto de seguridad afecta principalmente a los productos de las series 7020R, 7280R/R2 y 7500R/R2. Sin embargo, para que se produzca una explotación exitosa, el dispositivo debe configurarse como un punto final de túnel con una IP de decapsulación, como un VXLAN VTEP, un punto final de túnel GRE o con un grupo de decapsulación de IP.

La compañía de equipos de red reconoció que la vulnerabilidad ha sido «informada como explotada en la naturaleza», y le dio crédito a Scott Christiansen, Lukas Peitz, Rich Compton y Jonathan Davis de Comcast por revelarla responsablemente.

A pesar de esto, Arista dijo que no se planean parches para abordar CVE-2026-7473, citando riesgos de que hacerlo podría romper las configuraciones existentes en las implementaciones. La compañía ha descrito mitigaciones para abordar el problema.

«Hay dos enfoques amplios para mitigar este problema: (1) aplicar ACL en dispositivos ascendentes o (2) aplicar ACL en los dispositivos donde se produce la decapsulación inesperada», dijo Arista. «En ambos casos, la idea es permitir selectivamente sólo el tráfico de túnel legítimo o bloquear selectivamente el tráfico de túnel malicioso».

Se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones o mitigaciones necesarias antes del 23 de junio de 2026 para contrarrestar la amenaza planteada por las tres vulnerabilidades.