CISA incorpora fallos explotados en Cisco, Chrome y Arista a su catálogo KEV
CISA ha sumado tres vulnerabilidades en Cisco, Google Chrome y Arista EOS a su catálogo KEV tras constatar explotación activa. El aviso eleva la presión para parchear y aplicar mitigaciones, con un plazo marcado para agencias federales de Estados Unidos hasta el 23 de junio de 2026.
La CISA añadió el 9 de junio de 2026 tres vulnerabilidades al catálogo Known Exploited Vulnerabilities (KEV) después de detectar que los atacantes ya las usan en campañas reales. La medida pone el foco en entornos muy distintos, desde la infraestructura de red hasta el navegador, y fija para las agencias federales incluidas en el programa FCEB una fecha límite de mitigación: el 23 de junio de 2026.
La primera, CVE-2026-20245, afecta a Cisco Catalyst SD-WAN Manager. El fallo permite que un atacante con acceso autenticado y local ejecute comandos arbitrarios con privilegios de root. El vector pasa por suministrar un fichero manipulado al sistema, un detalle que vuelve especialmente relevante el control de qué archivos se suben, se importan o se procesan en la plataforma de administración.
La segunda, CVE-2026-11645, golpea al motor V8 de Google Chrome. El escenario es el clásico que preocupa a cualquier organización: un atacante remoto puede preparar una página HTML manipulada para lograr ejecución de código dentro del sandbox del navegador. Google ya corrigió el problema en Chrome Stable Desktop para Windows, macOS y Linux, y mantuvo restringidos varios detalles técnicos mientras la actualización llega a la mayoría de usuarios. La recomendación práctica es inmediata: actualizar al menos a 149.0.7827.103 y comprobarlo desde chrome://settings/help.
El tercer caso, CVE-2026-7473, afecta a Arista EOS y abre la puerta a un procesamiento inesperado de tráfico tunelizado que el equipo no tiene configurado, siempre que actúe como endpoint de túnel con una IP de desencapsulación. El riesgo se concentra en familias como Arista 7020R, 7280R/7280R2 y 7500R/7500R2, sobre todo si existe configuración como VXLAN VTEP, decap groups o una interfaz GRE.
Aquí hay un matiz importante: Arista no prevé publicar un parche para esta vulnerabilidad y apuesta por mitigaciones. La vía recomendada pasa por aplicar ACL en los propios equipos o en dispositivos situados aguas arriba para permitir solo el tráfico de túnel legítimo y bloquear el malicioso. También conviene inventariar qué switches actúan como endpoints con desencapsulación, revisar si esa función debe permanecer expuesta y reforzar segmentación y filtrados en redes de administración.
Para organizaciones fuera del ámbito federal estadounidense, el catálogo KEV funciona como termómetro fiable de prioridad: si una debilidad entra ahí, no espera. Parchear Chrome, endurecer el acceso a la CLI y a redes de gestión en Cisco, y aplicar controles de tráfico en Arista marca la diferencia entre una incidencia contenida y una intrusión con recorrido.
Más información
- The Hacker News – CISA Adds Cisco, Chrome, and Arista Flaws to KEV Catalog Amid Active Exploitation : https://thehackernews.com/2026/06/cisa-adds-cisco-chrome-and-arista-flaws.html
- TechRadar – Update Chrome now — Google patches new zero-day flaw already being exploited : https://www.techradar.com/pro/security/update-chrome-now-google-patches-new-zero-day-flaw-already-being-exploited
La entrada CISA incorpora fallos explotados en Cisco, Chrome y Arista a su catálogo KEV se publicó primero en Una Al Día.
Powered by WPeMatico
