Cuatro vulnerabilidades críticas permiten ejecución remota de código con privilegios de root y suplantación de identidad en Webex. Los parches ya están disponibles, pero clientes con SSO deben actualizar certificados manualmente.
Cisco publicó el miércoles 15 de abril cuatro actualizaciones de seguridad críticas que corrigen vulnerabilidades en Cisco Identity Services Engine (ISE) y Webex Services. Las fallas, identificadas como CVE-2026-20147, CVE-2026-20180, CVE-2026-20186 y CVE-2026-20184, permiten desde ejecución remota de código con escalada de privilegios hasta root, hasta la suplantación completa de usuarios en entornos Webex.
Todas las vulnerabilidades tienen puntuaciones CVSS superiores a 9.8 y ya cuentan con parches disponibles, aunque en el caso de Webex los administradores deben realizar una acción manual para completar la remediación.
La vulnerabilidad más urgente en términos de impacto operativo es CVE-2026-20184 (CVSS 9.8), que afecta la integración de single sign-on (SSO) con Control Hub en Webex Services. Según el advisory oficial de Cisco, un atacante remoto sin autenticación podía conectararse a un endpoint del servicio y suministrar un token manipulado para hacerse pasar por cualquier usuario dentro de la plataforma. La falla radicaba en una validación incorrecta de certificados en la integración SSO. Aunque Cisco ya corrigió el problema en su infraestructura cloud, los clientes que utilizan trust anchors con SSO deben cargar manualmente un nuevo certificado SAML del proveedor de identidad (IdP) en Control Hub para evitar interrupciones del servicio.
En paralelo, Cisco Identity Services Engine presenta tres vulnerabilidades de ejecución remota de código, todas con CVSS 9.9. Los advisories de seguridad de Cisco ISE detallan que CVE-2026-20147 permite a un atacante autenticado con credenciales administrativas ejecutar comandos arbitrarios en el sistema operativo subyacente mediante solicitudes HTTP manipuladas. Las vulnerabilidades CVE-2026-20180 y CVE-2026-20186, documentadas en otro advisory de Cisco, comparten el mismo vector de ataque pero requieren únicamente credenciales de administrador de solo lectura, lo que amplía significativamente la superficie de ataque potencial.
El impacto en entornos de nodo único de ISE es particularmente severo, la explotación exitosa puede causar que el nodo afectado quede inoperativo, provocando una condición de denegación de servicio. En ese estado, los endpoints que no se hayan autenticado previamente no podrán acceder a la red hasta que el nodo sea restaurado. Esto representa un riesgo crítico para organizaciones que dependen de ISE como componente central de su infraestructura de control de acceso en América Latina, donde muchas empresas mantienen despliegues simplificados de nodo único en sucursales regionales.
Las versiones corregidas ya están disponibles: ISE 3.1 requiere Patch 11, ISE 3.2 necesita Patch 10, ISE 3.3 exige Patch 11, ISE 3.4 requiere Patch 6, e ISE 3.5 necesita Patch 3. El equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) declaró no tener conocimiento de explotación activa ni anuncios públicos sobre estas vulnerabilidades. No existen workarounds disponibles, por lo que la actualización inmediata es la única medida efectiva. Según el reporte trimestral de Cisco Talos, el equipment de networking representa el 20% de las vulnerabilidades en el catálogo KEV de CISA, una tendencia que se espera continúe ascendiendo durante 2026.
FUENTE ORIGINAL
Cisco Security↗CURADO POR
Santiago Torres