CISA ordena parcheo urgente de SolarWinds por explotación de vulnerabilidad RCE detectada por Horizon3.ai
05 de February de 2026CISA ordena parcheo urgente de vulnerabilidad en SolarWinds tras detectar su explotación activa
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha incluido un fallo de ejecución remota de código (RCE) en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV), advirtiendo que actores de amenazas ya están aprovechando la brecha.
En un movimiento que subraya la gravedad de las amenazas actuales contra la infraestructura de gestión de TI, la agencia CISA ha emitido una directiva de cumplimiento obligatorio para las agencias federales de EE. UU., tras confirmar que la vulnerabilidad identificada como CVE-2025-40551 en el software SolarWinds Web Help Desk (WHD) está siendo utilizada en ataques reales.
El fallo, que ha recibido una calificación de severidad crítica de 9.8 en la escala CVSS, permite a atacantes no autenticados ejecutar comandos arbitrarios en el sistema host de manera remota, lo que podría derivar en un control total del servidor afectado.
Deserialización de datos: El vector de ataque
De acuerdo con los detalles técnicos proporcionados por investigadores de seguridad de Horizon3.ai, quienes descubrieron la brecha, el problema radica en una "deserialización de datos no confiables". Esta debilidad estructural permite que un atacante envíe información malformada que el sistema procesa erróneamente, abriendo la puerta a la ejecución de código sin necesidad de credenciales previas.
Aunque el fabricante lanzó parches correctivos a finales de enero de 2026, la velocidad con la que los actores de amenazas han comenzado a explotar el fallo ha obligado a las autoridades a reducir los tiempos de respuesta.
Plazos de respuesta y alcance
La directiva BOD 22-01 de CISA establece un calendario estricto:
Agencias Federales Civiles: Tienen como plazo máximo el 6 de febrero de 2026 para aplicar las actualizaciones de seguridad.
Sector Privado: Aunque la orden es mandatoria para el gobierno, CISA insta a todas las organizaciones de sectores como educación y salud (donde Web Help Desk tiene una presencia significativa) a priorizar esta actualización de inmediato.
Otras amenazas en el radar
La actualización del catálogo KEV no se limitó a SolarWinds. La agencia también incluyó fallos en otros sistemas ampliamente utilizados:
Sangoma FreePBX (CVE-2019-19006 y CVE-2025-64328): Vulnerabilidades que permiten eludir la autenticación y la inyección de comandos en sistemas de telefonía.
GitLab (CVE-2021-39935): Un fallo de falsificación de solicitud del lado del servidor (SSRF) que afecta a las ediciones Community y Enterprise.
Recomendación técnica
Los especialistas advierten que la explotación de CVE-2025-40551 puede ser el punto de entrada para campañas de ransomware o robo de datos a gran escala mediante movimientos laterales dentro de la red corporativa. La solución definitiva es la actualización a la versión Web Help Desk 2026.1 o superior, siguiendo las instrucciones oficiales de remediación del fabricante.