Inyección de comandos del sistema operativo en Core Privileged Access Manager (BoKS) de Fortra
- boks-server 8.1.0.0 hasta 8.1.0.22;
- boks-server 9.0.0.0 hasta 9.0.0.4.
Fortra ha publicado una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir la ejecución de código arbitrario, afectando a la confidencialidad, integridad y disponibilidad de los sistemas afectados.
El fabricante recomienda aplicar las correcciones disponibles mediante las versionas corregidas del producto cuando estén disponibles.
Como medida de mitigación temporal, se recomienda restringir el acceso de red al servicio boks_autoregisterd, que utiliza por defecto el puerto TCP/6507, hasta que se hayan desplegado las versiones corregidas. Como alternativa, para instalaciones de boks-server 8.1 y 9.0, se puede deshabilitar el servicio modificando la configuración de boksinit en el servidor BoKS Master.
CVE-2026-9862: vulnerabilidad de inyección de comandos del sistema operativo en el servicio boks_autoregisterd de Fortra Core Privileged Access Manager (BoKS). Esta vulnerabilidad permite que un atacante remoto con acceso de red al servicio afectado pueda enviar entradas manipuladas durante el proceso de autoregistro, provocando la ejecución de comandos arbitrarios con los privilegios del servicio vulnerable.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-9862 | Crítica | No | Fortra |
