SAP tiene liberado actualizaciones de seguridad para abordar dos fallas de seguridad críticas que podrían explotarse para lograr la ejecución de código arbitrario en los sistemas afectados.

Las vulnerabilidades en cuestión se enumeran a continuación:

• CVE-2019-17571 (Puntuación CVSS: 9,8) – Una vulnerabilidad de inyección de código en la aplicación SAP Quotation Management Insurance (FS-QUO)
• CVE-2026-27685 (Puntuación CVSS: 9,1): una vulnerabilidad de deserialización insegura en la administración de SAP NetWeaver Enterprise Portal

«La aplicación utiliza un artefacto obsoleto de Apache Log4j 1.2.17 que es vulnerable a CVE-2019-17571», la empresa de seguridad SAP Onapsis dicho. «Permite que un atacante sin privilegios ejecute código arbitrario de forma remota en el servidor, lo que provoca un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación».

CVE-2026-27685, por otro lado, se debe a una validación faltante o insuficiente durante la deserialización del contenido cargado, lo que podría permitir a un atacante cargar contenido malicioso o que no es de confianza.

«Sólo el hecho de que un atacante requiera altos privilegios para un exploit exitoso evita que la vulnerabilidad sea etiquetada con una puntuación CVSS de 10», añadió Onapsis.

La divulgación se produce cuando Microsoft envió parches para 84 vulnerabilidades en todos los productos, incluidas docenas de fallas de escalada de privilegios y ejecución remota de código.

El martes, Adobe también anunció parches para 80 vulnerabilidadescuatro de los cuales son fallas críticas que afectan a Adobe Commerce y Magento Open Source y que podrían resultar en una escalada de privilegios y la elusión de funciones de seguridad. Por otra parte, solucionó cinco vulnerabilidades críticas en Adobe Illustrator que podrían allanar el camino para la ejecución de código arbitrario.

Por otra parte, Hewlett Packard Enterprise solucionó cinco deficiencias en Aruba Networking AOS-CX. La más grave de las fallas es CVE-2026-23813 (puntuación CVSS: 9,8), una omisión de autenticación que afecta a la interfaz de administración.

«Se ha identificado una vulnerabilidad en la interfaz de administración basada en web de los conmutadores AOS-CX que podría permitir que un actor remoto no autenticado eluda los controles de autenticación existentes», HPE dicho. «En algunos casos, esto podría permitir restablecer la contraseña de administrador».

«La explotación de esta vulnerabilidad de Aruba potencialmente brinda a los atacantes un control total de los dispositivos de red AOS-CX y la capacidad de comprometer un sistema completo sin ser detectado», dijo Ross Filipek, CISO de Corsica Technologies, en un comunicado.

«Un compromiso exitoso podría provocar la interrupción de las comunicaciones de red o la erosión de la integridad de los servicios comerciales clave. Esta falla es un recordatorio de que las vulnerabilidades en los dispositivos de red se están volviendo más comunes en el mundo hiperconectado de hoy. Cuando los atacantes obtienen acceso privilegiado a estos dispositivos, pone a las organizaciones en un riesgo significativo».

Parches de software de otros proveedores

Otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:

• TEJIDO
• Servicios web de Amazon
• AMD
• Brazo
• Atlassiano
• Bosco
• Broadcom (incluido VMware)
• Canon
• cisco
• bóveda común
• Sistemas Dassault
• Dell
• Devoluciones
• drupal
• Elástico
• F5
• Fortinet
• Fortra
• Software Foxit
• GitLab
• Google Androide y Píxel
• Google Chrome
• Nube de Google
• Reloj Google Pixel
• Sistema operativo Google Wear
• Grafana
• Energía Hitachi
• mielwell
• caballos de fuerza
• HP empresarial (incluyendo Aruba Networking y Redes de enebro)
• IBM
• Intel
• Ivanti
• Jenkins
• lenovo
• Distribuciones de Linux AlmaLinux, Linux alpino, amazonlinux, Arco Linux, Debian, Gentoo, Oráculo Linux, magia, sombrero rojo, Linux rocoso, SUSEy ubuntu
• MediaTek
• Mitsubishi Electrico
• moxa
• Mozilla Firefox, Firefox ESR y Thunderbird
• n8n
• Nvidia
• Redes de Palo Alto
• QNAP
• Qualcomm
• Ricoh
• Samsung
• Electricidad Schneider
• Servicio ahora
• siemens
• Vientos solares
• Splunk
• Sinología
• TP-Link
• Tendencia Micro
• GuardiaGuardia
• Digital occidental
• Zoomy
• Zyxel

Microsoft lanzó el martes parches para un conjunto de 84 nuevas vulnerabilidades de seguridad afectando a varios componentes de software, incluidos dos que han sido catalogados como de conocimiento público.

De estos, ocho están clasificados como Críticos y 76 como Importantes en cuanto a su gravedad. Cuarenta y seis de las vulnerabilidades parcheadas se relacionan con la escalada de privilegios, seguidas de 18 de ejecución remota de código, 10 de divulgación de información, cuatro de suplantación de identidad, cuatro de denegación de servicio y dos fallas de omisión de funciones de seguridad.

Las correcciones se suman a 10 vulnerabilidades que se han solucionado en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de febrero de 2026.

Los dos días cero divulgados públicamente son CVE-2026-26127 (Puntuación CVSS: 7,5), una vulnerabilidad de denegación de servicio en .NET, y CVE-2026-21262 (Puntuación CVSS: 8,8), una vulnerabilidad de elevación de privilegios en SQL Server.

La vulnerabilidad con la puntuación CVSS más alta en la actualización de este mes es una falla crítica de ejecución remota de código en el Programa de precios de dispositivos de Microsoft. CVE-2026-21536 (Puntuación CVSS: 9,8), según Microsoft, se ha mitigado por completo y no se requiere ninguna acción por parte de los usuarios. A la plataforma autónoma de descubrimiento de vulnerabilidades XBOW, impulsada por inteligencia artificial (IA), se le atribuye el mérito de descubrir e informar el problema.

«Este mes, más de la mitad (55%) de todos los CVE de Patch Tuesday fueron errores de escalada de privilegios, y de ellos, seis fueron clasificados como más probables de explotación en el componente de gráficos de Windows, la infraestructura de accesibilidad de Windows, el kernel de Windows, el servidor SMB de Windows y Winlogon», dijo Satnam Narang, ingeniero senior de investigación de Tenable.

«Sabemos que estos errores suelen ser utilizados por actores de amenazas como parte de una actividad posterior al compromiso, una vez que ingresan a los sistemas a través de otros medios (ingeniería social, explotación de otra vulnerabilidad)».

La falla de escalada de privilegios de Winlogon (CVE-2026-25187puntuación CVSS: 7,8), en particular, aprovecha la resolución inadecuada de enlaces para obtener privilegios del SISTEMA. El investigador de Google Project Zero, James Forshaw, ha sido reconocido por informar sobre la vulnerabilidad.

«La falla permite a un atacante autenticado localmente con privilegios bajos explotar una condición de seguimiento de enlace en el proceso Winlogon y escalar a privilegios del SISTEMA», dijo Jacob Ashdown, ingeniero de ciberseguridad de Immersive. «La vulnerabilidad no requiere interacción del usuario y tiene una baja complejidad de ataque, lo que la convierte en un objetivo sencillo una vez que un atacante logra afianzarse».

Otra vulnerabilidad a destacar es CVE-2026-26118 (Puntuación CVSS: 8,8), un error de falsificación de solicitudes del lado del servidor en el servidor Azure Model Context Protocol (MCP) que podría permitir a un atacante autorizado elevar los privilegios en una red.

«Un atacante podría aprovechar este problema enviando entradas especialmente diseñadas a una herramienta de servidor Azure Model Context Protocol (MCP) que acepte parámetros proporcionados por el usuario», dijo Microsoft.

«Si el atacante puede interactuar con el agente respaldado por MCP, puede enviar una URL maliciosa en lugar de un identificador de recurso normal de Azure. Luego, el servidor MCP envía una solicitud saliente a esa URL y, al hacerlo, puede incluir su token de identidad administrado. Esto permite al atacante capturar ese token sin requerir acceso administrativo».

La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener los permisos asociados con la identidad administrada del servidor MCP. Luego, el atacante podría aprovechar este comportamiento para acceder o realizar acciones en cualquier recurso al que la identidad administrada esté autorizada a acceder.

Entre los errores de gravedad crítica resueltos por Microsoft se encuentra una falla de divulgación de información en Excel. Seguimiento como CVE-2026-26144 (puntuación CVSS de 7,5), se ha descrito como un caso de secuencias de comandos entre sitios que se produce como resultado de una neutralización inadecuada de la entrada durante la generación de la página web.

El fabricante de Windows dijo que un atacante que explotara la deficiencia podría causar que el modo Copilot Agent extraiga datos como parte de un ataque sin clic.

«Las vulnerabilidades de divulgación de información son especialmente peligrosas en entornos corporativos donde los archivos Excel a menudo contienen datos financieros, propiedad intelectual o registros operativos», dijo Alex Vovk, director ejecutivo y cofundador de Action1, en un comunicado.

«Si son explotados, los atacantes podrían extraer silenciosamente información confidencial de los sistemas internos sin activar alertas obvias. Las organizaciones que utilizan funciones de productividad asistidas por IA pueden enfrentar una mayor exposición, ya que los agentes automatizados podrían transmitir involuntariamente datos confidenciales fuera de los límites corporativos».

Los parches llegan cuando Microsoft dijo que está cambiando el comportamiento predeterminado de Windows Autopatch al permitir actualizaciones de seguridad con parches activos para ayudar a proteger los dispositivos a un ritmo más rápido.

«Este cambio en el comportamiento predeterminado llega a todos los dispositivos elegibles en Microsoft Intune y a aquellos que acceden al servicio a través de Microsoft Graph API a partir de la actualización de seguridad de Windows de mayo de 2026», Redmond dicho. «Aplicar correcciones de seguridad sin esperar a que se reinicie puede hacer que las organizaciones alcancen un 90% de cumplimiento en la mitad del tiempo, mientras usted mantiene el control».

Los investigadores de ciberseguridad han revelado nueve vulnerabilidades entre inquilinos en Google Looker Studio que podrían haber permitido a los atacantes ejecutar consultas SQL arbitrarias en las bases de datos de las víctimas y filtrar datos confidenciales dentro de los entornos de Google Cloud de las organizaciones.

Las deficiencias han sido nombradas colectivamente. Looker con fugas por Tenable. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza. Tras la divulgación responsable en junio de 2025, Google solucionó los problemas.

La lista de fallas de seguridad es la siguiente:

«Las vulnerabilidades rompieron supuestos de diseño fundamentales, revelaron una nueva clase de ataque y podrían haber permitido a los atacantes filtrar, insertar y eliminar datos en los servicios de las víctimas y en el entorno de Google Cloud», dijo la investigadora de seguridad Liv Matan. dicho en un informe compartido con The Hacker News.

«Estas vulnerabilidades expusieron datos confidenciales en los entornos de Google Cloud Platform (GCP), afectando potencialmente a cualquier organización que utilice Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage y casi cualquier otro conector de datos de Looker Studio».

La explotación exitosa de las fallas entre inquilinos podría permitir a los actores de amenazas obtener acceso a conjuntos de datos y proyectos completos en diferentes inquilinos de la nube.

Los atacantes podrían buscar informes públicos de Looker Studio u obtener acceso a informes privados que utilicen estos conectores (por ejemplo, BigQuery) y tomar el control de las bases de datos, permitiéndoles ejecutar consultas SQL arbitrarias en todo el proyecto GCP del propietario.

Alternativamente, una víctima crea un informe como público o lo comparte con un destinatario específico y utiliza una fuente de datos conectada a JDBC, como PostgreSQL. En este escenario, el atacante puede aprovechar una falla lógica en la función de copia de informes que permite clonar informes conservando las credenciales del propietario original, lo que le permite eliminar o modificar tablas.

Otra ruta de alto impacto detallada por la compañía de ciberseguridad implicó la exfiltración de datos con un solo clic, donde compartir un informe especialmente diseñado obliga al navegador de la víctima a ejecutar código malicioso que contacta un proyecto controlado por un atacante para reconstruir bases de datos completas a partir de registros.

«Las vulnerabilidades rompieron la promesa fundamental de que un ‘espectador’ nunca debería poder controlar los datos que está viendo», dijo Matan, y agregó que «podrían haber permitido a los atacantes filtrar o modificar datos en los servicios de Google como BigQuery y Google Sheets».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves agregado dos fallas de seguridad que afectan los productos de Hikvision y Rockwell Automation a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

Las vulnerabilidades de gravedad crítica se enumeran a continuación:

• CVE-2017-7921 (Puntuación CVSS: 9,8): una vulnerabilidad de autenticación inadecuada que afecta a múltiples productos Hikvision y que podría permitir a un usuario malintencionado escalar privilegios en el sistema y obtener acceso a información confidencial.
• CVE-2021-22681 (Puntuación CVSS: 9,8): una vulnerabilidad de credenciales insuficientemente protegidas que afecta a múltiples controladores Rockwell Automation Studio 5000 Logix Designer, RSLogix 5000 y Logix que podría permitir que un usuario no autorizado con acceso a la red del controlador omita el mecanismo de verificación y se autentique con él, así como también altere su configuración y/o código de aplicación.

La incorporación de CVE-2017-7921 al catálogo KEV se produce más de cuatro meses después de que SANS Internet Storm Center revelara que había detectado intentos de explotación contra cámaras Hikvision susceptibles a la falla. Sin embargo, no parece haber ningún informe público que describa los ataques que involucren a CVE-2021-22681.

A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) actualizar a las últimas versiones de software compatibles antes del 26 de marzo de 2026, como parte de Directiva operativa vinculante (DBO) 22-01.

«Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal», dijo CISA.

«Aunque BOD 22-01 solo se aplica a las agencias FCEB, CISA insta encarecidamente a todas las organizaciones a reducir su exposición a ataques cibernéticos priorizando la remediación oportuna de las vulnerabilidades del Catálogo KEV como parte de su práctica de gestión de vulnerabilidades».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado cuatro fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-2441 (Puntuación CVSS: 8,8): una vulnerabilidad de uso después de la liberación en Google Chrome que podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.
• CVE-2024-7694 (Puntuación CVSS: 7,2) – Un vulnerabilidad de carga de archivos arbitrarios en TeamT5 ThreatSonar Anti-Ransomware versiones 3.4.5 y anteriores que podrían permitir a un atacante cargar archivos maliciosos y lograr la ejecución arbitraria de comandos del sistema en el servidor.
• CVE-2020-7796 (Puntuación CVSS: 9,8): una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Synacor Zimbra Collaboration Suite (ZCS) que podría permitir a un atacante enviar una solicitud HTTP diseñada a un host remoto y obtener acceso no autorizado a información confidencial.
• CVE-2008-0015 (Puntuación CVSS: 8,8): una vulnerabilidad de desbordamiento de búfer basada en pila en el control ActiveX de vídeo de Microsoft Windows que podría permitir a un atacante lograr la ejecución remota de código mediante la configuración de una página web especialmente diseñada.

La adición de CVE-2026-2441 al catálogo KEV se produce días después de que Google reconociera que «existe un exploit para CVE-2026-2441 en la naturaleza». Actualmente no se sabe cómo se está utilizando la vulnerabilidad como arma, pero dicha información generalmente se retiene hasta que la mayoría de los usuarios se actualizan con una solución para evitar que otros actores de amenazas se unan al tren de la explotación.

En cuanto a CVE-2020-7796, un informe publicado por la firma de inteligencia sobre amenazas GreyNoise en marzo de 2025 reveló que un grupo de aproximadamente 400 direcciones IP estaba explotando activamente múltiples vulnerabilidades SSRF, incluida CVE-2020-7796, para atacar instancias susceptibles en EE. UU., Alemania, Singapur, India, Lituania y Japón.

«Cuando un usuario visita una página web que contiene un exploit detectado como Exploit:JS/CVE-2008-0015, puede conectarse a un servidor remoto y descargar otro malware», Microsoft notas en su enciclopedia de amenazas. También dijo que tiene conocimiento de casos en los que el exploit se utiliza para descargar y ejecutar perroun gusano que se propaga a través de unidades extraíbles.

El gusano viene con capacidades para recuperar y ejecutar binarios adicionales, sobrescribir ciertos archivos del sistema, finalizar una larga lista de procesos relacionados con la seguridad e incluso reemplazar el archivo Hosts de Windows en un intento de evitar que los usuarios accedan a sitios web asociados con programas de seguridad.

Actualmente no está claro cómo se explota la vulnerabilidad TeamT5 ThreatSonar Anti-Ransomware. Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 10 de marzo de 2026 para una protección óptima.

Actualizar

en un publicación de seguimiento Publicado el 22 de febrero de 2026, TeamT5 dijo que la vulnerabilidad se relaciona con un problema identificado en 2024 y que desde entonces todos los clientes afectados han migrado desde versiones vulnerables de su producto ThreatSonar Anti-Ransomware.

La compañía de seguridad taiwanesa dijo que desde entonces ha mejorado su ciclo de vida de desarrollo de software seguro y sus controles de seguridad de productos, así como procesos estandarizados de respuesta a incidentes internos y gestión de vulnerabilidades.

(La historia se actualizó después de la publicación para incluir detalles de TeamT5).