La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad de alta gravedad que afecta al software de servidor de archivos multiprotocolo SolarWinds Serv-U a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, identificada como CVE-2026-28318 (puntuación CVSS: 7,5), es un error de denegación de servicio (DoS) que provoca que el servicio falle en determinadas condiciones. CISA lo describió como una vulnerabilidad de consumo de recursos incontrolado que resulta en una condición DoS.
«SolarWinds Serv-U es susceptible a solicitudes POST especialmente diseñadas que bloquean el servicio Serv-U sin autenticación utilizando Content-Encoding: deflate», dijo SolarWinds en un aviso publicado a principios de esta semana.
El problema se solucionó en SolarWinds Serv-U versión 15.5.4 HF1. Como mitigación, se recomienda limitar el acceso a direcciones conocidas y bloquear cualquier solicitud que contenga «codificación de contenido», ya que el servicio vulnerable no requiere esta funcionalidad.
Actualmente no hay detalles sobre cómo se aprovecha la vulnerabilidad en ataques del mundo real ni quién está detrás de ellos. Tampoco está claro cuántas instancias de Serv-U expuestas a Internet están comprometidas, si es que hay alguna.
CISA ha ordenado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aborden la falla antes del 19 de junio de 2026. En el pasado, los malos actores han explotado múltiples fallas en Serv-U, incluidos aquellos asociados con la banda de ransomware Cl0p.