Volver al inicio

Principales CVE de marzo 2026: RCE en Cisco y Langflow

Resumen de CVE críticas de marzo 2026: deserialización en Cisco FMC (CVSS 10), RCE en Langflow y zero-day Chrome, compromiso Trivy. Explotación activa, KEV CISA, pasos de mitigación para intermedios/senior.

🚨 CVE críticas de marzo 2026: desde RCE en Cisco hasta ataques a Trivy
Advertisement 728x90

CVEs Críticos de Marzo 2026: Deserialización Cisco a Ataques en Cadena de Suministro Trivy

Marzo de 2026 vio un aumento explosivo en la explotación de vulnerabilidades, con atacantes actuando en cuestión de horas tras su divulgación. Los objetivos incluyen plataformas de IA y cadenas de suministro. Aquí va un resumen de las CVEs clave con puntuación CVSS 8.7+ y actividad confirmada en el mundo real.

Fallo de Deserialización en Cisco Secure Firewall Management Center

CVE-2026-20131 (CVSS 10.0 CRÍTICA)

Una falla en la interfaz web de Cisco FMC permite a atacantes deserializar objetos Java maliciosos sin autenticación. Afecta a todas las versiones, incluida Cisco Security Cloud Control. El grupo Interlock explotó este zero-day desde el 26 de enero de 2026; CISA lo añadió a KEV con plazo del 22 de marzo.

Google AdInline article slot

Explotación: Una solicitud POST con un objeto serializado activa RCE a nivel root.

Impactos:

  • Manipulación de la configuración del firewall.
  • Intercepción de tráfico y robo de datos.
  • Punto de entrada para ransomware.

Mitigaciones:

Google AdInline article slot
  • Parchea FMC de inmediato.
  • Aísla la interfaz de gestión detrás de Zero Trust.
  • Audita logs en busca de payloads de deserialización (usa IoCs de AWS).

RCE sin Autenticación en Langflow

CVE-2026-33017 (CVSS 9.3 CRÍTICA)

Esta plataforma visual de agentes de IA (más de 145k estrellas en GitHub) tiene una vulnerabilidad en el endpoint /api/v1/build_public_tmp/{flow_id}/flow. Código Python de payloads JSON se ejecuta vía exec() sin sandbox. Afecta versiones ≤1.8.2. Sysdig detectó exploits solo 20 horas después del boletín del 17 de marzo.

Explotación: Un solo POST con código malicioso en definiciones de nodos.

Google AdInline article slot

Impactos:

  • RCE con privilegios del proceso.
  • Robo de secretos (claves API de OpenAI, contraseñas de BD, SSH).
  • Ataques a pipelines de ML integrados.

Mitigaciones:

  • Actualiza a 1.9.0+ (1.8.2 sigue vulnerable según JFrog).
  • Rota todos los secretos de entorno.
  • Añade autenticación FW/proxy para Langflow.
  • Monitorea POST a /api/v1/ y tráfico saliente.

Zero-Days de Chrome: Vulnerabilidades en Skia y V8

CVE-2026-3909 (CVSS 8.7 ALTA) — Escritura fuera de límites en Skia (renderizado 2D).

CVE-2026-3910 (CVSS 8.7 ALTA) — Confusión de tipos en V8 (JS/WebAssembly).

Google confirmó explotación activa el 10 de marzo; plazo CISA KEV es 27 de marzo. Tercer zero-day de Chrome en 2026.

Explotación: Página HTML/JS maliciosa (watering hole o malvertising).

Impactos:

  • Ejecución de código en proceso renderer: robo de cookies y sesiones.
  • Riesgo en Chrome headless en CI/CD.
  • Escalada requiere escape de sandbox.

Mitigaciones:

  • Actualiza a Chrome 146.0.7680.75+.
  • Parchea navegadores basados en Chromium (Edge, Brave).
  • Inventario de instancias headless.
  • Activa actualizaciones automáticas.

Compromiso en Cadena de Suministro de Aqua Trivy

CVE-2026-33634 (CVSS 9.4 CRÍTICA)

El 19 de marzo, TeamPCP comprometió una cuenta de desarrollador y forzó el push de tags maliciosos al GitHub Action trivy-action. Roba secretos de CI/CD (tokens, SSH, credenciales cloud). Afecta imágenes Docker y PyPI LiteLLM.

Explotación: La acción exfiltra secretos de entorno al ejecutarse.

Impactos:

  • Acceso a credenciales AWS/GCP/Azure.
  • Imágenes Trivy maliciosas en Docker Hub.
  • Efectos en cascada a bibliotecas LLM.

Mitigaciones:

  • Audita ejecuciones CI/CD posteriores al 19 de marzo.
  • Rota todos los secretos.
  • Verifica imágenes Trivy.
  • Fija GitHub Actions por SHA.

Patch Tuesday de Microsoft: AI-XSS y RCE en Office

79 CVEs parchadas, 8 críticas. Destacan:

CVE-2026-26144 (CVSS 8.7 ALTA) — XSS en Excel Copilot Agent para exfiltración sigilosa de datos.

Explotación: XLSX malicioso activa Copilot para enviar datos.

CVE-2026-26110/26113 (CVSS 8.6 ALTA) — RCE en Office por puntero inválido/confusión de tipos.

Nginx UI y Más

Nginx UI: Dumps de backups sin autenticación (riesgo RCE).

Grafana: SQLi que lleva a RCE vía expresiones SQL.

GNU InetUtils telnetd: Desbordamiento de búfer.

Android: Zero-day de Qualcomm.

Lecciones Clave

  • Explotación récord rápida: 20 horas para Langflow, sin PoC pública.
  • Cadenas de suministro bajo fuego: Trivy, LiteLLM.
  • Ataques dirigidos a IA: exec() en Langflow, XSS en Excel Copilot.
  • Prioridades CISA KEV: Cisco, Chrome — parchea ya.
  • Chrome headless en CI/CD: riesgo pasado por alto.

— Editorial Team

Advertisement 728x90

Leer después