CISA alerta sobre 7 CVE en explotación activa — Fortinet SQLi con CVSS 9.1 y Exchange usado para Medusa ransomware

La Cybersecurity and Infrastructure Security Agency (CISA) añadió este 13 de abril siete nuevas vulnerabilidades a su catálogo de Known Exploited Vulnerabilities (KEV), todas con evidencia confirmada de explotación activa en el entorno real. La actualización incluye fallos de gravedad variable en productos de Microsoft, Adobe y Fortinet, con una inyección SQL en FortiClient EMS encabezando la lista con un CVSS de 9.1 sobre 10. La inclusión en el KEV activa plazos obligatorios de remediación para agencias federales estadounidenses y envía una señal clara al sector privado sobre la necesidad de priorizar estos parches de forma inmediata.

El catálogo ahora incorpora CVE-2026-21643, la vulnerabilidad más crítica del grupo con CVSS 9.1, que permite a un atacante no autenticado ejecutar código arbitrario mediante solicitudes HTTP especialmente diseñadas contra Fortinet FortiClient EMS. La firma de ciberseguridad Defused Cyber reportó intentos de explotación desde el 24 de marzo de 2026, lo que sugiere que los adversarios identificaron y comenzaron a weaponizar el fallo poco después de su descubrimiento. Fortinet ha liberado parches y urge a las organizaciones que despliegan este software de gestión de endpoints aplicar las actualizaciones sin demora.

El grupo de amenazas Storm-1175 ha aprovechado activamente CVE-2023-21529 (CVSS 8.8), una vulnerabilidad de deserialización en Microsoft Exchange Server que permite ejecución remota de código a atacantes autenticados. Según reveló Microsoft la semana pasada, este actor ha estado utilizando el fallo para desplegar el ransomware Medusa en organizaciones objetivo. Exchange Server permanece como uno de los activos más atacados en el panorama de amenacas actual, y este CVE se suma a una larga lista de vulnerabilidades del servidor de correo que grupos como Play, BlackCat y LockBit han explotado en campañas previas.

El catálogo también incorpora CVE-2012-1854, una vulnerabilidad de carga insegura de librerías en Microsoft Visual Basic for Applications (VBA) con más de una década de antigüedad. Microsoft reconoció en julio de 2012 la existencia de "ataques limitados y dirigidos" que intentaban explotar este fallo, demostrando que incluso vulnerabilidades heredadas siguen siendo armas viables para actores de amenazas. Las organizaciones con sistemas legacy o que mantienen macros de VBA en sus flujos de trabajo deben evaluar su exposición, especialmente en sectores como finanzas y manufactura donde estas automatizaciones persisten.

La lista de CISA también se enfoca en fallos que afectan a estaciones de trabajo. Se incluyen dos vulnerabilidades en productos de Adobe: CVE-2020-9715, un fallo de tipo use-after-free en Acrobat, y CVE-2026-34621, una vulnerabilidad de prototype pollution en Acrobat y Reader. Ambos fallos pueden ser explotados mediante archivos PDF maliciosos para lograr la ejecución de código en el sistema de la víctima.

El resto de las adiciones afectan directamente al sistema operativo Windows: CVE-2023-36424, una lectura fuera de límites que podría filtrar información sensible, y CVE-2025-60710, que explota la forma en que el sistema operativo maneja los enlaces para lograr una escalada de privilegios.

Las agencias federales de la rama ejecutiva civil (FCEB) tienen como fecha límite el 27 de abril de 2026 para aplicar los parches correspondientes, según lo establecido en la Directiva Operativa Vinculante 22-01. Aunque este mandato solo aplica al gobierno federal estadounidense, CISA recomienda enfáticamente que todas las organizaciones, incluyendo entidades privadas y gobiernos locales en América Latina, incorporen la revisión del catálogo KEV como parte rutinaria de su programa de gestión de vulnerabilidades. La velocidad de aplicación de parches marca la diferencia entre un incidente contenido y una intrusión que deriva en exfiltración de datos o despliegue de ransomware.