La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad de alta gravedad que afecta el software del servidor de archivos multiprotocolo SolarWinds Serv-U a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad, identificada como CVE-2026-28318 (puntuación CVSS: 7,5), es un error de denegación de servicio (DoS) que provoca que el servicio falle en determinadas condiciones. CISA lo describió como una vulnerabilidad de consumo de recursos incontrolado que resulta en una condición DoS.

«SolarWinds Serv-U es susceptible a solicitudes POST especialmente diseñadas que bloquean el servicio Serv-U sin autenticación mediante Content-Encoding: deflate», SolarWinds dicho en un aviso publicado a principios de esta semana.

El problema se solucionó en SolarWinds Serv-U versión 15.5.4 HF1. Como mitigación, se recomienda limitar el acceso a direcciones conocidas y bloquear cualquier solicitud que contenga «codificación de contenido», ya que el servicio vulnerable no requiere esta funcionalidad.

Actualmente no hay detalles sobre cómo se aprovecha la vulnerabilidad en ataques del mundo real ni quién está detrás de ellos. Tampoco está claro cuántas instancias de Serv-U expuestas a Internet están comprometidas, si es que hay alguna.

CISA ha ordenado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aborden la falla antes del 19 de junio de 2026. En el pasado, los malos actores han explotado múltiples fallas en Serv-U, incluidos aquellos asociados con el banda de ransomware cl0p.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el miércoles agregado una falla crítica que afecta a Mirasvit Cache Warmer, una popular extensión de caché de página completa de Magento, en su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de explotación activa en la naturaleza.

La vulnerabilidad, rastreada como CVE-2026-45247 (Puntuación CVSS: 9,8), es un caso de deserialización de datos que no son de confianza y que podrían explotarse para ejecutar código PHP arbitrario en un servidor afectado.

«Mirasvit Full Page Cache Warmer contiene una vulnerabilidad de deserialización de datos no confiables que podría permitir a atacantes no autenticados lograr la ejecución remota de código al proporcionar un objeto PHP serializado diseñado en la cookie CacheWarmer», CISA dicho.

La deficiencia afecta a todas las versiones de la extensión anteriores a la versión 1.11.12. Los parches para se lanzaron el 25 de mayo de 2026.

La adición de CVE-2026-45247 al catálogo KEV se produce días después de que Sansec dijera que la vulnerabilidad de inyección de objetos PHP podría explotarse mediante cualquier solicitud de escaparate que lleve una cookie CacheWarmer diseñada, que luego deserializa parte del valor de la cookie con la función unserialize() nativa de PHP sin requerir autenticación ni privilegios de administrador.

«Como ese valor proviene directamente del cliente, un atacante controla los objetos que PHP reconstruye», afirma la empresa de seguridad holandesa. dicho. «Esto es inyección de objetos PHP (CWE-502). Combinada con una cadena de gadgets de clases que Magento y sus dependencias ya incluyen, la inyección de objetos escala a la ejecución remota de código».

Sansec dijo que identificó alrededor de 6.000 tiendas que ejecutan extensiones de Mirasvit, aunque es probable que el número exacto sea mayor dado que las redes de entrega de contenido (CDN) como las instalaciones de máscaras de Cloudflare.

Desde entonces, Imperva, propiedad de Thales, ha revelado que ha observado actividad de ataque activo que intenta explotar CVE-2026-45247 a través de cargas útiles de objetos PHP serializados entregados a través de solicitudes HTTP maliciosas.

«Las cargas útiles observadas contienen objetos serializados codificados en base64 diseñados para activar la deserialización de objetos PHP y lograr la ejecución remota de código a través de cadenas de dispositivos de los que comúnmente se abusa», dijo la compañía. dicho. «Las cargas útiles intentan invocar funciones como system() y current() para ejecutar comandos arbitrarios en el servidor subyacente. En varios casos observados, los atacantes utilizaron comandos de prueba diseñados para validar la ejecución exitosa del código».

La actividad se ha centrado principalmente en sitios de juegos y negocios, siendo Estados Unidos, el Reino Unido, Francia y Australia los países más objetivo. Actualmente no se sabe quién está detrás de los esfuerzos de explotación, aunque el objetivo final parece ser señalar entornos vulnerables de Magento y confirmar que la ejecución remota de código es posible.

A la luz de la explotación activa, se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 6 de junio de 2026. Para detectar posibles esfuerzos de explotación, se recomienda a los propietarios de sitios que realicen auditorías para detectar solicitudes de escaparates que contengan una cookie CacheWarmer cuyo valor contenga el marcador «CacheWarmer:» seguido de una cadena codificada en Base64.

«Los objetos PHP serializados codifican en base64 a valores que comienzan con Tz, Qz o YT, por lo que un valor de cookie CacheWarmer que coincida con CacheWarmer:(Tz|Qz|YT) es un fuerte indicador de un intento de explotación», agregó Sansec.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado una falla de seguridad de alta gravedad que afecta a Oracle WebLogic Server hasta sus vulnerabilidades explotadas conocidas (KEV) Catálogo, basado en evidencias de explotación activa.

La vulnerabilidad, CVE-2024-21182 (Puntuación CVSS: 7,5), permite que un atacante no autenticado con acceso a la red tome el control de servidores susceptibles. Fue parcheado por Oracle en julio de 2024.

«Oracle WebLogic contiene una vulnerabilidad no especificada que podría permitir que un atacante no autenticado con acceso a la red a través de T3, IIOP comprometa Oracle WebLogic Server», dijo CISA.

«Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle WebLogic Server».

Actualmente no hay informes públicos sobre cómo se está explotando la vulnerabilidad en la naturaleza. Dicho esto, varios actores de amenazas han utilizado repetidamente fallas anteriores en el software como arma para incluirlas en botnets, extraer criptomonedas e implementar ransomware.

A principios de marzo, CloudSEK también reveló que otra falla de seguridad de máxima gravedad en WebLogic (CVE-2026-21962, puntuación CVSS: 10.0) fue testigo de intentos de explotación automatizada poco después de que el código de explotación estuviera disponible públicamente.

A la luz de la explotación activa de la falla, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 4 de junio de 2026 para proteger sus redes.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves agregado dos fallas de seguridad que afectan los productos de Hikvision y Rockwell Automation a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

Las vulnerabilidades de gravedad crítica se enumeran a continuación:

• CVE-2017-7921 (Puntuación CVSS: 9,8): una vulnerabilidad de autenticación inadecuada que afecta a múltiples productos Hikvision y que podría permitir a un usuario malintencionado escalar privilegios en el sistema y obtener acceso a información confidencial.
• CVE-2021-22681 (Puntuación CVSS: 9,8): una vulnerabilidad de credenciales insuficientemente protegidas que afecta a múltiples controladores Rockwell Automation Studio 5000 Logix Designer, RSLogix 5000 y Logix que podría permitir que un usuario no autorizado con acceso a la red del controlador omita el mecanismo de verificación y se autentique con él, así como también altere su configuración y/o código de aplicación.

La incorporación de CVE-2017-7921 al catálogo KEV se produce más de cuatro meses después de que SANS Internet Storm Center revelara que había detectado intentos de explotación contra cámaras Hikvision susceptibles a la falla. Sin embargo, no parece haber ningún informe público que describa los ataques que involucren a CVE-2021-22681.

A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) actualizar a las últimas versiones de software compatibles antes del 26 de marzo de 2026, como parte de Directiva operativa vinculante (DBO) 22-01.

«Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal», dijo CISA.

«Aunque BOD 22-01 solo se aplica a las agencias FCEB, CISA insta encarecidamente a todas las organizaciones a reducir su exposición a ataques cibernéticos priorizando la remediación oportuna de las vulnerabilidades del Catálogo KEV como parte de su práctica de gestión de vulnerabilidades».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado una falla de seguridad recientemente revelada que afecta las operaciones de Broadcom VMware Aria a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando explotación activa en la naturaleza.

La vulnerabilidad de alta gravedad, CVE-2026-22719 (Puntuación CVSS: 8,1), se ha descrito como un caso de inyección de comandos que podría permitir que un atacante no autenticado ejecute comandos arbitrarios.

«Un actor malicioso no autenticado puede aprovechar este problema para ejecutar comandos arbitrarios, lo que puede llevar a la ejecución remota de código en VMware Aria Operations mientras se realiza la migración de productos asistida por soporte», dijo la compañía. dicho en un aviso publicado a finales del mes pasado.

La deficiencia se solucionó, junto con CVE-2026-22720, una vulnerabilidad de secuencias de comandos entre sitios almacenados, y CVE-2026-22721, una vulnerabilidad de escalada de privilegios que podría resultar en acceso administrativo. Afecta a los siguientes productos:

• VMware Cloud Foundation y VMware vSphere Foundation 9.xxx: corregido en 9.0.2.0
• Operaciones de VMware Aria 8.x: corregido en 8.18.6

Los clientes que no puedan aplicar el parche inmediatamente pueden descargar y ejecutar un script de shell («aria-ops-rce-workaround.sh») como raíz de cada nodo del dispositivo virtual de operaciones Aria.

Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza, quién está detrás de ella y la escala de dichos esfuerzos.

«Broadcom está al tanto de los informes sobre una posible explotación de CVE-2026-22719 en estado salvaje, pero no podemos confirmar de forma independiente su validez», señaló la compañía en una actualización de su boletín.

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 24 de marzo de 2026.