La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes ocho nuevas vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas (KEV), incluidas tres fallas que afectan a Cisco Catalyst SD-WAN Manager, citando evidencia de explotación activa.
La lista de vulnerabilidades es la siguiente:
- CVE-2023-27351 (Puntuación CVSS: 8,2): una vulnerabilidad de autenticación incorrecta en PaperCut NG/MF que podría permitir a un atacante eludir la autenticación en las instalaciones afectadas a través de la clase SecurityRequestFilter.
- CVE-2024-27199 (Puntuación CVSS: 7,3): una vulnerabilidad de recorrido de ruta relativa en JetBrains TeamCity que podría permitir a un atacante realizar acciones de administración limitadas.
- CVE-2025-2749 (Puntuación CVSS: 7,2): una vulnerabilidad de recorrido de ruta en Kentico Xperience que podría permitir que el servidor Staging Sync de un usuario autenticado cargue datos arbitrarios en ubicaciones relativas de ruta.
- CVE-2025-32975 (Puntuación CVSS: 10,0): una vulnerabilidad de autenticación incorrecta en el dispositivo de administración de sistemas (SMA) Quest KACE que podría permitir a un atacante hacerse pasar por usuarios legítimos sin credenciales válidas.
- CVE-2025-48700 (Puntuación CVSS: 6.1): una vulnerabilidad de secuencias de comandos entre sitios en Synacor Zimbra Collaboration Suite (ZCS) que podría permitir a un atacante ejecutar JavaScript arbitrario dentro de la sesión del usuario, lo que resultaría en un acceso no autorizado a información confidencial.
- CVE-2026-20122 (Puntuación CVSS: 5,4): un uso incorrecto de la vulnerabilidad de API privilegiadas en Cisco Catalyst SD-WAN Manager que podría permitir a un atacante cargar y sobrescribir archivos arbitrarios en el sistema afectado y obtener privilegios de usuario de vmanage.
- CVE-2026-20128 (Puntuación CVSS: 7,5): una vulnerabilidad de almacenamiento de contraseñas en un formato recuperable en Cisco Catalyst SD-WAN Manager que podría permitir que un atacante local autenticado obtenga privilegios de usuario DCA accediendo a un archivo de credenciales para el usuario DCA en el sistema de archivos como un usuario con pocos privilegios.
- CVE-2026-20133 (Puntuación CVSS: 6,5): exposición de información confidencial a una vulnerabilidad de actor no autorizado en Cisco Catalyst SD-WAN Manager que podría permitir a atacantes remotos ver información confidencial en los sistemas afectados.
Vale la pena señalar que CISA agregó CVE-2024-27198, otra falla que afecta las versiones locales de JetBrains TeamCity, al catálogo KEV en marzo de 2024. No se sabe en este momento si ambas vulnerabilidades se están explotando juntas y si la actividad es obra del mismo actor de amenazas.
La explotación de CVE-2023-27351, por otro lado, se atribuyó a Lace Tempest en abril de 2023 en relación con ataques que entregaban las familias de ransomware Cl0p y LockBit.
En cuanto a CVE-2025-32975, Arctic Wolf dijo que observó actores de amenazas desconocidos que utilizaban el error como arma para atacar sistemas SMA sin parches a fines del mes pasado, aunque los objetivos finales exactos de la campaña aún se desconocen.
Cisco, por su parte, también dijo que tuvo conocimiento de la explotación de CVE-2026-20122 y CVE-2026-20128 en marzo de 2026. La compañía aún tiene que revisar su aviso para reflejar el abuso de CVE-2026-20133.
A la luz de la explotación activa, se recomendó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aborden las tres vulnerabilidades de Cisco antes del 23 de abril de 2026 y el resto antes del 4 de mayo de 2026.