{"id":280,"date":"2026-03-18T06:39:14","date_gmt":"2026-03-18T06:39:14","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/18\/fallo-critico-de-telnetd-sin-parches-cve-2026-32746-permite-rce-raiz-no-autenticado-a-traves-del-puerto-23-cyberdefensa-mx\/"},"modified":"2026-03-18T06:39:14","modified_gmt":"2026-03-18T06:39:14","slug":"fallo-critico-de-telnetd-sin-parches-cve-2026-32746-permite-rce-raiz-no-autenticado-a-traves-del-puerto-23-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/18\/fallo-critico-de-telnetd-sin-parches-cve-2026-32746-permite-rce-raiz-no-autenticado-a-traves-del-puerto-23-cyberdefensa-mx\/","title":{"rendered":"Fallo cr\u00edtico de Telnetd sin parches (CVE-2026-32746) permite RCE ra\u00edz no autenticado a trav\u00e9s del puerto 23 \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado una falla de seguridad cr\u00edtica que afecta al demonio telnet GNU InetUtils (telnetd) y que podr\u00eda ser explotada por un atacante remoto no autenticado para ejecutar c\u00f3digo arbitrario con privilegios elevados.<\/p>\n

La vulnerabilidad, rastreada como CVE-2026-32746<\/a><\/strong>tiene una puntuaci\u00f3n CVSS de 9,8 sobre 10,0. Se ha descrito como un caso de escritura fuera de l\u00edmites en el controlador de subopci\u00f3n Establecer caracteres locales (SLC) de LINEMODE que resulta en un desbordamiento del b\u00fafer, lo que en \u00faltima instancia allana el camino para la ejecuci\u00f3n del c\u00f3digo.<\/p>\n

La empresa israel\u00ed de ciberseguridad Dream, que descubri\u00f3 e inform\u00f3 la falla el 11 de marzo de 2026, dijo que afecta a todas las versiones de la implementaci\u00f3n del servicio Telnet hasta la 2.7. Se espera que una soluci\u00f3n para la vulnerabilidad est\u00e9 disponible a m\u00e1s tardar el 1 de abril de 2026.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abUn atacante remoto no autenticado puede aprovechar esto enviando un mensaje especialmente dise\u00f1ado durante el protocolo de enlace de conexi\u00f3n inicial, antes de que aparezca cualquier mensaje de inicio de sesi\u00f3n\u00bb, Dream dicho<\/a> en una alerta. \u00abUna explotaci\u00f3n exitosa puede resultar en la ejecuci\u00f3n remota de c\u00f3digo como root\u00bb.<\/p>\n

\u00abUna \u00fanica conexi\u00f3n de red al puerto 23 es suficiente para desencadenar la vulnerabilidad. No se requieren credenciales, ninguna interacci\u00f3n del usuario ni una posici\u00f3n especial en la red\u00bb.<\/p>\n