Cinco nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en DeepSeek-TUI de Hmbown
- Contaminación de prototipos en un nodo XML de n8n
- Autenticación incorrecta en Cisco Catalyst SD-WAN Controller
- Escalada de privilegios a nivel local en el kernel de Linux
- Cross-site Scripting en Exchange Server de Microsoft
Múltiples vulnerabilidades en DeepSeek-TUI de Hmbown
- DeepSeek-TUI (Rust): versiones anteriores a 0.8.26. (CVE-2026-45374)
- DeepSeek-TUI (Rust): desde la versión 0.3.0 hasta la 0.8.22. (CVE-2026-45311)
- DeepSeek-TUI (npm): desde la versión 0.3.0 hasta la 0.8.22. (CVE-2026-45311)
- DeepSeek-TUI-CLI (Rust): desde la versión 0.3.0 hasta la 0.8.22. (CVE-2026-45311)
47Cid ha reportado múltiples vulnerabilidades de severidad crítica que, en caso de ser explotadas, podrían permitir a un atacante la ejecución remota de código.
El fabricante recomienda actualizar a las siguientes versiones:
- DeepSeek-TUI (Rust) a 0.8.26. (CVE-2026-45374)
- DeepSeek-TUI (Rust) a 0.8.23. (CVE-2026-45311)
- DeepSeek-TUI (npm) a 0.8.23. (CVE-2026-45311)
- DeepSeek-TUI-CLI (Rust) a 0.8.23. (CVE-2026-45311)
- CVE-2026-45374: ejecución remota de código debido a valores por defecto inseguros en la función task_create de DeepSeek-TUI. Los sub-agentes duraderos creados heredan allow_shell=true y auto_approve=true, lo que permite que, al aprobar una tarea aparentemente inocua, el sub-agente ejecute comandos arbitrarios incluidos en archivos de proyecto sin aprobación adicional del usuario.
- CVE-2026-45311: ejecución remota de código en la función run_test que ejecuta cargo test con ApprovalRequirement::Auto, lo que significa que las pruebas se ejecutan sin ningún aviso al usuario. Un repositorio malicioso puede contener pruebas que ejecuten comandos arbitrarios, exfiltren credenciales o establezcan persistencia en el sistema. Esta vulnerabilidad se ve amplificada por AGENTS.md, que se carga automáticamente en el prompt del sistema y puede instruir al modelo para ejecutar las pruebas al inicio de la sesión.
Contaminación de prototipos en un nodo XML de n8n
Las siguientes versiones de n8n:
- anteriores a la 1.123.43;
- desde la 2.0.0-rc.0 hasta la 2.20.6;
- desde la 2.21.0 hasta la 2.22.0.
simonkoeck ha descubierto una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir la ejecución de código en remoto en el host de n8n.
Actualizar el producto a las siguientes versiones respectivamente:
- 1.123.43;
- 2.22.1;
- 2.20.7.
CVE-2026-44791: un fallo en la implementación del nodo XML de n8n permite a un usuario autenticado con permisos para crear o modificar flujos de trabajo evadir el parche aplicado previamente. Esta vulnerabilidad puede ser combinada con otros nodos para ejecutar código remoto en el host de n8n.
Autenticación incorrecta en Cisco Catalyst SD-WAN Controller
Los productos Cisco Catalyst SD-WAN Controller (anteriormente conocido como SD-WAN vSmart) y Cisco Catalyst SD-WAN Manager (anteriormente conocido como SD-WAN vManage), independientemente de la configuración del dispositivo y de su implementación:
- On-Prem (instalación en local)
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud (Cisco Managed)
- Cisco SD-WAN for Government (FedRAMP)
Para un detalle más exhaustivo de las versiones afectadas, se recomienda consultar la tabla del enlace de CISCO de las referencias.
CISCO ha publicado un aviso donde informan de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante no autenticado y en remoto omitir la autenticación y obtener privilegios de administrador en el sistema afectado.
Aplicar el parche que soluciona el problema. No hay ninguna medida de mitigación disponible, aparte de la instalación del parche.
Según la versión del producto, actualizar a alguna de las siguientes versiones:
- versión 20.9: 20.9.9.1.
- versión 20.10: 20.12.7.1.
- versión 20.12: 20.12.5.4, 20.12.6.2 y 20.12.7.1.
- versión 20.15: 20.15.4.4 y 20.15.5.2.
- versión 20.18: 20.18.2.2.
- versión 26.1:26.1.1.1.
Para los productos listados a continuación, es importante tener en cuenta que han alcanzado el final de su vida útil, por lo que se recomienda, principalmente, actualizar el producto a una versión con soporte:
- versiones anteriores a la 20.9: se requiere migrar a una versión con soporte.
- versión 20.11: 20.12.7.1.
- versión 20.13: 20.15.5.2.
- versión 20.14: 20.15.5.2.
- versión 20.16: 20.18.2.2.
La vulnerabilidad también está resuelta en Cisco SD-WAN Cloud (Cisco Managed) Release 20.15.506 en la nube, pero en este caso, no es preciso que el usuario realice ninguna acción.
Para conocer la versión del producto se puede ver en la función "Ayuda" (Help) en la interfaz gráfica de usuario del servicio.
Debido a la severidad de esta vulnerabilidad y a que está siendo explotada, se recomienda actualizar lo antes posible.
Importante: Si se sospecha de que el sistema ha podido ser atacado, se recomienda lanzar el comando "request admin-tech" en cada uno de los componentes de control, en la implementación de SD-WAN antes de actualizar. De esta forma quedarán preservados los indicadores de compromiso (IoC). Después de que se haya recopilado el archivo admin-tech, actualizar el software cuanto antes.
CVE-2026-20182: la vulnerabilidad se encuentra en el protocolo de enlace de la conexión de control. Este fallo en la autenticación de interconexión podría permitir a un atacante no autenticado y en remoto, evitar la autenticación y obtener privilegios de administrador en el sistema afectado. Para explotar la vulnerabilidad, un atacante podría enviar solicitudes manipuladas al sistema vulnerable; si el ataque tiene éxito, este accederá al sistema con una cuenta interna con muchos privilegios, pero no root. Con esta cuenta, el atacante puede acceder a NETCONF y ahí manipular la configuración de la red para SD-WAN.
CISCO informa de que la vulnerabilidad está siendo explotada.
Escalada de privilegios a nivel local en el kernel de Linux
Subsistema XFRM ESP-in-TCP del Kernel de Linux.
Se ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante local escribir bytes arbitrarios en la caché de páginas del núcleo de archivos de solo lectura.
La estrategia de mitigación es equivalente a la de Dirty Frag: evaluar la desactivación de los módulos del Kernel esp4, esp6 y rxrpc.
CVE-2026-46300: Fragnesia es un exploit universal de escalada de privilegios local en Linux. Aunque pertenece a la familia de vulnerabilidades Dirty Frag y se mitiga de la misma manera, se trata de un error independiente en ESP/XFRM que cuenta con su propio parche. El ataque aprovecha un fallo lógico en el subsistema XFRM ESP-in-TCP para lograr la escritura arbitraria de bytes en la caché de páginas (page cache) del Kernel sobre archivos de solo lectura, todo ello sin necesitar condiciones de carrera (race conditions).
Esta técnica funciona cambiando un socket TCP al modo espintcp una vez que los datos de un archivo ya se han volcado en la cola de recepción. Esto engaña al Kernel para que procese esas páginas como texto cifrado y, mediante la manipulación técnica del vector de inicialización, permite al atacante sobrescribir un archivo byte a byte.
Cross-site Scripting en Exchange Server de Microsoft
- Microsoft Exchange Server 2016 Cumulative Update 23: x64-based Systems
- Microsoft Exchange Server 2019 Cumulative Update 14, 15: x64-based Systems
- Microsoft Exchange Server Subscription Edition RTM: x64-based Systems
Microsoft ha publicado una vulnerabilidad de severidad critica que podría permitir a un atacante suplantar la identidad.
Esta vulnerabilidad podría estar siendo explotada.
Para los clientes que tienen habilitado el servicio Exchange EM, Microsoft lanzó la solución de mitigación automática para Exchange Server 2016, 2019 y SE. Esta solución ya está publicada y habilitada automáticamente.
CVE-2026-42897: la neutralización inadecuada de la entrada durante la generación de páginas web ("cross-site scripting") en Microsoft Exchange Server permite que un atacante no autorizado realice suplantación de identidad a través de una red. Un atacante podría explotar esta vulnerabilidad enviando un correo electrónico especialmente diseñado a un usuario. Si el usuario abre el correo electrónico en Outlook Web Access y se cumplen ciertas condiciones de interacción, se puede ejecutar código JavaScript arbitrario en el navegador.



