CISA incorpora fallos explotados en Cisco, Chrome y Arista a su catálogo KEV

12 de Junio de 2026

CISA incorpora fallos explotados en Cisco, Chrome y Arista a su catálogo KEV

La CISA alertó sobre tres vulnerabilidades activamente explotadas en Cisco, Chrome y Arista EOS, recomendando su corrección inmediata.

La CISA incorporó tres nuevas vulnerabilidades que afectan a Cisco, Google Chrome y Arista EOS a su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), tras confirmar que están siendo utilizadas activamente por atacantes. Esta inclusión indica un riesgo elevado para las organizaciones, por lo que se recomienda priorizar la aplicación de parches y medidas de mitigación. Como parte de la directiva federal estadounidense, las agencias del gobierno de EE. UU. deberán corregir estas fallas antes del 23 de junio de 2026 para reducir la exposición a posibles compromisos de seguridad.

La CISA incorporó tres nuevas vulnerabilidades al catálogo Known Exploited Vulnerabilities (KEV) tras confirmar su explotación activa en ataques reales. Las fallas afectan a Cisco Catalyst SD-WAN Manager, Google Chrome y Arista EOS, por lo que las agencias federales de EE. UU. deberán aplicar las mitigaciones correspondientes antes del 23 de junio de 2026.

Cisco (CVE-2026-20245): Permite a un atacante autenticado ejecutar comandos arbitrarios con privilegios de root mediante la carga de archivos manipulados en la plataforma de administración SD-WAN. Se recomienda reforzar los controles sobre archivos importados y restringir el acceso a redes y consolas de gestión.
Google Chrome (CVE-2026-11645): Vulnerabilidad en el motor V8 que puede permitir la ejecución remota de código a través de una página web maliciosa. Google ya publicó correcciones para Windows, macOS y Linux, por lo que se aconseja actualizar inmediatamente a la versión 149.0.7827.103 o superior.
Arista EOS (CVE-2026-7473): Puede provocar el procesamiento no autorizado de tráfico tunelizado en determinados equipos configurados como endpoints de túnel. Dado que Arista no prevé publicar un parche, la mitigación recomendada consiste en aplicar listas de control de acceso (ACL), restringir el tráfico de túneles únicamente al autorizado y revisar las configuraciones de VXLAN, GRE y otras funciones relacionadas.

La inclusión de estas vulnerabilidades en el catálogo KEV indica que representan una amenaza prioritaria para las organizaciones. Por ello, se recomienda acelerar la aplicación de parches, fortalecer los controles de acceso y revisar las configuraciones de red para reducir el riesgo de compromisos de seguridad.

Más información

The Hacker News – CISA Adds Cisco, Chrome, and Arista Flaws to KEV Catalog Amid Active Exploitation : https://thehackernews.com/2026/06/cisa-adds-cisco-chrome-and-arista-flaws.html
TechRadar – Update Chrome now — Google patches new zero-day flaw already being exploited : https://www.techradar.com/pro/security/update-chrome-now-google-patches-new-zero-day-flaw-already-being-exploited

Regresar