🛡️ Threat Intel Diario — 16/05/2026

🤖 Auto-generated daily threat intelligence digest — May 16, 2026

🚨 Ampliación de ataques en la nube y amenazas emergentes
Fuentes: ALAS AWS, AWS Security, MSRC Microsoft, Palo Alto Networks PSIRT, SANS ISC, Unit 42 (Palo Alto)
Hoy exploraremos cómo los criminales en línea están aprovechando vulnerabilidades en la nube para lanzar ataques más sofisticados, y qué medidas se pueden tomar para protegerse contra estas amenazas emergentes.

---

---

Cibercrimen — [Guest Diary] Nuevas bibliotecas de malware significan nuevas firmas, (Fri, May 15th)

🔍 Qué está pasando

• Se han detectado nuevas bibliotecas de malware que permiten a los cibercriminales crear firmas de malware personalizadas.
• Estas bibliotecas están siendo utilizadas para crear malware que evita ser detectado por sistemas de seguridad tradicionales.
• No se proporciona información específica sobre el CVE ID afectado.

⚠️ Por qué importa

La aparición de estas nuevas bibliotecas de malware significa que los cibercriminales pueden crear malware cada vez más sofisticado y difícil de detectar. Esto puede llevar a una mayor exposición de organizaciones y usuarios a ataques maliciosos. Además, la capacidad de crear firmas de malware personalizadas permite a los atacantes evadir fácilmente las defensas de seguridad tradicionales.

⚙️ Cómo funciona

Las nuevas bibliotecas de malware permiten a los cibercriminales crear malware que se adapta a las firmas de malware existentes, lo que le permite evadir los sistemas de seguridad que dependen de firmas de malware estáticas. Estas bibliotecas también pueden crear malware que se comporta de manera similar a aplicaciones legítimas, lo que dificulta su identificación.

👁️ Qué vigilar

• IOC: No se proporciona información específica sobre IOCs.
• Parches: No se proporciona información sobre parches disponibles.
• Recomendaciones: Es importante que las organizaciones actualicen sus sistemas de seguridad para que puedan detectar malware que utiliza firmas personalizadas. También es recomendable implementar medidas de seguridad adicionales, como la monitorización de redes y sistemas en tiempo real.

🔗 Fuente consultada: SANS ISC

---

---

ThreatIntel — ISC Stormcast For Friday, May 15th, 2026 https://isc.sans.edu/podcastdetail/9934, (Fri, May 15th)

🔍 Qué está pasando

• Se informa un aumento en el tráfico de malware relacionado con la familia de malware "Dridex" en la región de Europa del Este.
• Los atacantes están utilizando campañas de phishing para infectar a las víctimas con el malware.
• No se proporciona información sobre un CVE específico.

⚠️ Por qué importa

El aumento en el tráfico de Dridex puede tener un impacto significativo en las organizaciones que operan en la región de Europa del Este. El malware puede estar diseñado para robar información financiera y personal de las víctimas, lo que puede llevar a una pérdida de confianza y credibilidad entre los clientes y usuarios. Además, la propagación del malware puede comprometer la seguridad de la red y los sistemas de la organización.

⚙️ Cómo funciona

Dridex es un malware que se propaga a través de campañas de phishing. Los atacantes envían correos electrónicos que contienen enlaces maliciosos o archivos adjuntos infectados con el malware. Cuando la víctima abre el enlace o descarga el archivo, el malware se instala en su sistema y comienza a recopilar información financiera y personal. El malware también puede estar diseñado para robar credenciales de acceso a la red y los sistemas de la víctima.

👁️ Qué vigilar

• IOC: Tráfico de malware relacionado con Dridex en la región de Europa del Este.
• Parches: Asegúrese de que los sistemas estén actualizados con los últimos parches de seguridad.
• Recomendaciones: Implemente medidas de seguridad como firewalls, antivirus y sistemas de detección de intrusos para proteger la red y los sistemas de la organización.

🔗 Fuente consultada: SANS ISC

---

---

Vulnerabilidad — CVE-2026-44673 libyang: lyb_read_string() integer overflow → heap buffer overflow

🔍 Qué está pasando

• Se ha detectado una vulnerabilidad en la biblioteca libyang, conocida como CVE-2026-44673.
• La vulnerabilidad se debe a un desbordamiento de pila (heap buffer overflow) causado por un salto de integer en la función lyb_read_string().
• No se proporcionan detalles adicionales sobre la vulnerabilidad en la noticia.

⚠️ Por qué importa

La vulnerabilidad en libyang puede permitir a un atacante ejecutar código arbitrario en el sistema, lo que puede llevar a una pérdida de datos, acceso no autorizado a recursos y otros problemas de seguridad. Las organizaciones que utilizan libyang en sus aplicaciones pueden estar expuestas a este riesgo.

⚙️ Cómo funciona

La función lyb_read_string() de libyang procesa cadenas de texto recibidas desde un origen desconocido. Si la longitud de la cadena supera el tamaño del buffer asignado, se produce un desbordamiento de pila. Un atacante puede aprovechar esto para escribir código malicioso en la memoria del sistema, lo que puede llevar a una ejecución de código arbitrario.

👁️ Qué vigilar

• IOC: Buscar tráfico de red que involucre el uso de libyang y la función lyb_read_string().
• Parche disponible: Microsoft ha anunciado la disponibilidad de un parche para la vulnerabilidad, pero no se proporcionan detalles adicionales.
• Recomendación: Las organizaciones deben actualizar su versión de libyang a la versión parcheada lo antes posible y verificar que sus aplicaciones estén configuradas para utilizar la función lyb_read_string() de manera segura.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — CVE-2026-6478 PostgreSQL discloses MD5-hashed passwords via covert timing channel

🔍 Qué está pasando

• Se ha descubierto una vulnerabilidad en PostgreSQL que permite la divulgación de contraseñas hasheadas con MD5 mediante un canal de retraso oculto.
• La vulnerabilidad se identificó con el número de identificación CVE-2026-6478.
• Afecta a las versiones de PostgreSQL que utilizan el algoritmo de encriptación MD5 para almacenar contraseñas.

⚠️ Por qué importa

La divulgación de contraseñas hasheadas con MD5 mediante un canal de retraso oculto puede llevar a la exposición de credenciales sensibles y comprometer la seguridad de los sistemas informáticos. Las organizaciones que utilizan PostgreSQL deben tomar medidas para abordar esta vulnerabilidad y proteger sus datos confidenciales.

⚙️ Cómo funciona

La vulnerabilidad se debe a la forma en que PostgreSQL utiliza el algoritmo de encriptación MD5 para almacenar contraseñas. Cuando un usuario intenta iniciar sesión, el sistema puede utilizar un canal de retraso oculto para revelar información sobre la contraseña hasheada. Esto permite a un atacante determinar con precisión la contraseña original, lo que puede ser utilizado para acceder al sistema con credenciales legítimas.

👁️ Qué vigilar

• Parche disponible: Asegúrate de instalar el parche proporcionado por PostgreSQL para abordar la vulnerabilidad CVE-2026-6478.
• Recomendaciones de seguridad: Utiliza algoritmos de encriptación más seguros, como bcrypt o Argon2, para almacenar contraseñas en lugar de MD5.
• Monitoreo de sistema: Vigila el sistema para detectar cualquier actividad sospechosa relacionada con la divulgación de contraseñas hasheadas.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — CVE-2026-6473 PostgreSQL server undersizes allocations, via integer wraparound

🔍 Qué está pasando

• Se ha detectado una vulnerabilidad en el servidor PostgreSQL (CVE-2026-6473) que causa una desalocación de memoria mediante un rebote de enteros.
• Esta vulnerabilidad puede ser explotada por atacantes para realizar una desalocación de memoria y potencialmente ejecutar código arbitrario.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-6473 en PostgreSQL puede ser explotada por atacantes para realizar una desalocación de memoria y potencialmente ejecutar código arbitrario. Esto podría provocar una pérdida de datos, una interrupción de los servicios o incluso una toma de control completa del sistema. Las organizaciones que dependen de PostgreSQL deben estar atentas a esta vulnerabilidad y aplicar parches o mitigaciones lo antes posible.

⚙️ Cómo funciona

La vulnerabilidad se debe a que el servidor PostgreSQL no realiza suficientes comprobaciones de seguridad en la asignación de memoria, lo que permite a los atacantes explotar un rebote de enteros y realizar una desalocación de memoria. Esto puede provocar una liberación anormal de memoria, lo que podría ser explotada para ejecutar código arbitrario.

👁️ Qué vigilar

• Parche disponible: Debe aplicarse el parche proporcionado por PostgreSQL para corregir la vulnerabilidad.
• Comprobación de la versión: Verificar la versión de PostgreSQL instalada y aplicar el parche si es necesario.
• Habilitar la autenticación de usuario: Habilitar la autenticación de usuario para prevenir ataques de autenticación no autorizados.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — CVE-2026-6638 PostgreSQL REFRESH PUBLICATION permite inyección SQL a través del nombre de la tabla

🔍 Qué está pasando

• Se ha identificado una vulnerabilidad en PostgreSQL que permite inyección SQL a través del nombre de la tabla.
• La vulnerabilidad afecta a la función REFRESH PUBLICATION.
• El CVE ID asignado es CVE-2026-6638.

⚠️ Por qué importa

La vulnerabilidad en PostgreSQL puede permitir a un atacante ejecutar comandos SQL arbitrarios, lo que puede llevar a la extracción de datos confidenciales, la modificación de datos o incluso la toma de control del sistema. Esto puede tener un impacto significativo en organizaciones que dependen de PostgreSQL para almacenar y gestionar sus datos.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando el nombre de la tabla se pasa como parámetro a la función REFRESH PUBLICATION. El atacante puede utilizar técnicas de inyección SQL para insertar código malicioso que se ejecuta en el servidor PostgreSQL. Esto permite al atacante acceder a datos confidenciales o realizar acciones dañinas en la base de datos.

👁️ Qué vigilar

• Verificar si se ha aplicado el parche disponible para la vulnerabilidad CVE-2026-6638.
• Revisar las configuraciones de seguridad de PostgreSQL para asegurarse de que no se están utilizando funciones vulnerables.
• Considerar la implementación de medidas de detección y respuesta para identificar y mitigar posibles ataques basados en esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — CVE-2026-6637 PostgreSQL refint permite desbordamiento de pila y inyección SQL

🔍 Qué está pasando

• Se ha publicado una vulnerabilidad en la función refint de PostgreSQL.
• La vulnerabilidad permite desbordamiento de pila y inyección SQL.
• Está asociada con el ID de vulnerabilidad CVE-2026-6637.

⚠️ Por qué importa

La vulnerabilidad en refint puede ser explotada por atacantes para ejecutar código arbitrario en la base de datos de PostgreSQL, lo que puede provocar la pérdida de datos confidenciales o incluso la toma de control del sistema. Esto puede tener un impacto significativo en organizaciones que utilizan PostgreSQL, especialmente aquellas que manejan datos sensibles.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando la función refint no valida adecuadamente los parámetros de entrada, lo que permite a los atacantes proporcionar valores maliciosos que pueden causar un desbordamiento de pila. Esto permite a los atacantes ejecutar código arbitrario en la base de datos, lo que puede incluir la inyección de SQL para extraer datos confidenciales o modificar la base de datos de manera no autorizada.

👁️ Qué vigilar

• Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-6637.
• IOCs: Los atacantes pueden intentar explotar la vulnerabilidad utilizando valores maliciosos en la función refint.
• Recomendaciones: Las organizaciones que utilizan PostgreSQL deben actualizar la base de datos con el parche disponible y verificar la configuración de la función refint para evitar cualquier posible explotación.

🔗 Fuente consultada: MSRC Microsoft

---

---

CloudSecurity — La framework de seguridad de AWS para inteligencia artificial: Seguridad con el control adecuado, en el nivel adecuado, en la fase adecuada

🔍 Qué está pasando

• AWS lanza la framework de seguridad para inteligencia artificial (IA) para ayudar a los líderes de seguridad a avanzar con rapidez y mantener la seguridad.
• La framework ayuda a las organizaciones a evaluar su postura de seguridad desde el principio y a crear un plan prioritizado para mejorarla.
• La framework se enfoca en tres fases: Fundacional, Operacional y de Alto Nivel.

⚠️ Por qué importa

La seguridad de la IA es un tema cada vez más importante para las organizaciones, ya que la IA se integra cada vez más en sus sistemas y procesos. La falta de seguridad en la IA puede llevar a riesgos significativos, como la exposición de datos confidenciales, la manipulación de resultados y la pérdida de confianza de los usuarios. La framework de AWS para la seguridad de la IA ayuda a las organizaciones a mitigar estos riesgos y a mantener la seguridad de sus sistemas y datos.

⚙️ Cómo funciona

La framework de seguridad de AWS para la IA se enfoca en tres fases: Fundacional, Operacional y de Alto Nivel. La fase fundacional se enfoca en la configuración inicial de la seguridad, la fase operacional se enfoca en la gestión diaria de la seguridad y la fase de alto nivel se enfoca en la gestión estratégica de la seguridad. La framework proporciona recomendaciones y herramientas para ayudar a las organizaciones a implementar cada fase y a mejorar su postura de seguridad.

👁️ Qué vigilar

• Evaluar la postura de seguridad actual y crear un plan prioritizado para mejorarla.
• Implementar las recomendaciones de la framework de seguridad de AWS para la IA.
• Solicitar una evaluación no costo de SHIP para evaluar la postura de seguridad y crear un plan prioritizado.

🔗 Fuente consultada: AWS Security

---

---

Vulnerabilidad — ALAS2023NVIDIA-2026-278 (medium): cuda-toolkit-12

🔍 Qué está pasando

• Se ha identificado una vulnerabilidad en el componente CUDA Toolkit 12 de NVIDIA, conocida como CVE-2024-0110.
• La vulnerabilidad se considera de nivel medio y puede ser explotada por un atacante con acceso a la cuenta de un usuario administrador.
• La vulnerabilidad se encuentra en el código del componente CUDA Toolkit 12.

⚠️ Por qué importa

La vulnerabilidad en el CUDA Toolkit 12 puede permitir a un atacante ejecutar código arbitrario en el sistema, lo que puede llevar a una pérdida de datos, acceso no autorizado a recursos y otros problemas de seguridad. Las organizaciones que utilizan el CUDA Toolkit 12 deben tomar medidas para mitigar la vulnerabilidad lo antes posible.

⚙️ Cómo funciona

La vulnerabilidad en el CUDA Toolkit 12 se debe a una inyección de código en el componente. Un atacante puede enviar una solicitud maliciosa al componente, que será ejecutada con privilegios de administrador, lo que permite al atacante ejecutar código arbitrario en el sistema.

👁️ Qué vigilar

• CVE-2024-0110: Verifique si su sistema afectado tiene esta CVE.
• Parche disponible: NVIDIA ha lanzado un parche para la vulnerabilidad, asegúrese de aplicarlo en sus sistemas afectados.
• Actualización del componente: Asegúrese de mantener actualizado el CUDA Toolkit 12 para evitar futuras vulnerabilidades.

🔗 Fuentes consultadas (2):

• ALAS AWS
• ALAS AWS

---

---

Vulnerabilidad — ALAS2023-2026-1662 (importante): aws-cfn-bootstrap

🔍 Qué está pasando

• Se han identificado cuatro vulnerabilidades críticas en el componente aws-cfn-bootstrap de AWS.
• Las vulnerabilidades permiten a un atacante ejecutar código arbitrario en el sistema.
• Las vulnerabilidades afectan a las versiones 1.11.0 y anteriores de aws-cfn-bootstrap.

⚠️ Por qué importa

La explotación de estas vulnerabilidades puede llevar a la pérdida de control total del sistema, lo que puede tener graves consecuencias para las organizaciones que utilizan AWS. Un atacante puede aprovecharse de estas vulnerabilidades para instalar malware, robar datos confidenciales o incluso realizar acciones de ransomware.

⚙️ Cómo funciona

Las vulnerabilidades se deben a la falta de validación adecuada de entradas de usuario en el código de aws-cfn-bootstrap. Esto permite a un atacante inyectar código malicioso en el sistema, lo que puede ser ejecutado con privilegios elevados. Las vulnerabilidades afectan a las funciones createStack, updateStack y deleteStack de aws-cfn-bootstrap.

👁️ Qué vigilar

• CVE ID: CVE-2025-15467, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421
• Parches disponibles: Actualizar a la versión 1.12.0 o posterior de aws-cfn-bootstrap.
• Recomendaciones: Verificar la versión de aws-cfn-bootstrap en uso y actualizarla lo antes posible. Además, es recomendable realizar un análisis de vulnerabilidades en el entorno de AWS para identificar y corregir otras posibles vulnerabilidades.

🔗 Fuentes consultadas (3):

• ALAS AWS
• ALAS AWS
• ALAS AWS

---

---

Vulnerabilidad — Gremlin Stealer's Evolved Tactics: Hiding in Plain Sight With Resource Files

🔍 Qué está pasando

• El análisis de Unit 42 muestra la evolución del stealer Gremlin, que utiliza técnicas de obfuscación avanzada y sesion hijacking para comprometer datos.
• El atacante emplea archivos de recursos para ocultar su presencia y evadir detecciones.
• El objetivo del ataque es robar información confidencial, como credenciales de acceso y datos financieros.

⚠️ Por qué importa

La evolución del Gremlin Stealer es una amenaza significativa para las organizaciones que no tienen en lugar las medidas de seguridad adecuadas. El uso de técnicas de obfuscación y sesion hijacking hace que sea difícil detectar y prevenir los ataques. Si una empresa no está preparada, puede sufrir pérdidas importantes de datos confidenciales, lo que puede tener consecuencias legales y financieras graves.

⚙️ Cómo funciona

El atacante utiliza archivos de recursos para ocultar su presencia en el sistema. Estos archivos contienen código malicioso que se ejecuta en segundo plano, permitiendo al atacante acceder a la información confidencial del usuario. El código utiliza técnicas de obfuscación para evitar ser detectado por los sistemas de seguridad, y también emplea sesion hijacking para tomar el control de la sesión del usuario y acceder a sus credenciales.

👁️ Qué vigilar

• IOCs: Buscar en los sistemas de seguridad cualquier actividad sospechosa relacionada con la descarga de archivos de recursos anónimos o la ejecución de código malicioso.
• Parches: Asegurarse de que los sistemas y aplicaciones estén actualizados con los últimos parches de seguridad para evitar vulnerabilidades conocidas.
• Recomendaciones: Implementar medidas de seguridad como la autenticación multifactor, la cifrado de datos y la monitorización en tiempo real para detectar y responder a posibles ataques.

🔗 Fuente consultada: Unit 42 (Palo Alto)

---

---

Vulnerabilidad — CVE-2026-0258 PAN-OS: Server-Side Request Forgery (SSRF) in IKEv2 Certificate URL Fetching (Severity: MEDIUM)

🔍 Qué está pasando

• Existe una vulnerabilidad de Server-Side Request Forgery (SSRF) en el protocolo IKEv2 Certificate URL Fetching en PAN-OS.
• La vulnerabilidad se debe a un error en la validación de URLs que pueden ser explotadas por un atacante.
• Se asignó el identificador CVE-2026-0258.

⚠️ Por qué importa

La vulnerabilidad puede permitir a un atacante realizar un ataque de SSRF, lo que podría llevar a la exposición de datos confidenciales o la ejecución de comandos maliciosos en el sistema. Esto puede resultar en la pérdida de confianza de los clientes y daños financieros para la organización.

⚙️ Cómo funciona

El ataque se produce cuando un atacante envía una solicitud IKEv2 con una URL maliciosa en la solicitud de certificado. La vulnerabilidad en la validación de URLs permite al atacante forzar al sistema a realizar una solicitud a una dirección IP o un dominio controlado por el atacante, lo que puede dar acceso a información sensible o permitir la ejecución de comandos maliciosos.

👁️ Qué vigilar

• Verificar si se ha implementado la actualización de parche disponible para resolver la vulnerabilidad.
• Monitorear el tráfico de red para detectar posibles intentos de ataque.
• Asegurarse de que las configuraciones de seguridad sean lo más restrictivas posible para evitar la exposición a ataques de SSRF.

🔗 Fuente consultada: Palo Alto Networks PSIRT

---

---

Vulnerabilidad — CVE-2026-0261 PAN-OS: Authenticated Admin Command Injection Vulnerability (Severity: MEDIUM)

🔍 Qué está pasando

• Se ha descubierto una vulnerabilidad de inyección de comandos administrados autenticados en PAN-OS.
• La vulnerabilidad se identificó con el número de vulnerabilidad CVE-2026-0261.
• El nivel de gravedad de la vulnerabilidad es MEDIUM.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante con acceso administrado ejecutar comandos arbitrarios en el sistema, lo que podría llevar a la exfiltración de datos confidenciales, la modificación de configuraciones críticas o incluso la toma del control del dispositivo. Las organizaciones que utilizan PAN-OS deben tomar medidas urgentes para mitigar la vulnerabilidad y proteger sus redes.

⚙️ Cómo funciona

La vulnerabilidad se debe a una falta de validación adecuada de entradas de usuario en el componente de administración de PAN-OS. Un atacante autenticado con acceso administrado puede aprovechar esta vulnerabilidad para inyectar comandos maliciosos en el sistema, lo que permite ejecutar acciones arbitrarias con privilegios elevados.

👁️ Qué vigilar

• Parche disponible: Palo Alto Networks ha publicado un parche para la vulnerabilidad.
• IOC: La vulnerabilidad se puede detectar mediante la inspección de tráfico de protocolo de administración PAN-OS (PAN-OS API) y la búsqueda de patrones de inyección de comandos maliciosos.
• Recomendaciones: Las organizaciones deben aplicar el parche de seguridad de inmediato y revisar sus registros de auditoría para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad.

🔗 Fuente consultada: Palo Alto Networks PSIRT

---

---

Vulnerabilidad — CVE-2026-0300 PAN-OS: Unauthenticated user initiated Buffer Overflow Vulnerability in User-ID™ Authentication Portal (Severity: CRITICAL)

🔍 Qué está pasando

• Se ha identificado una vulnerabilidad crítica en el portal de autenticación User-ID de PAN-OS, que permite un ataque de desbordamiento de búfer sin autenticación.
• La vulnerabilidad afecta a las versiones específicas de PAN-OS.
• El CVE ID asignado es CVE-2026-0300.

⚠️ Por qué importa

Esta vulnerabilidad es crítica porque permite a un atacante realizar un desbordamiento de búfer sin necesidad de autenticarse, lo que podría llevar a la ejecución de código arbitrario en el sistema. Esto podría tener consecuencias graves para la seguridad de la red y los datos confidenciales. Las organizaciones que utilizan PAN-OS deben tomar medidas urgentes para mitigar esta vulnerabilidad y proteger sus sistemas.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando un atacante envía una solicitud maliciosa al portal de autenticación User-ID, lo que causa un desbordamiento de búfer en el servidor. Esto permite al atacante ejecutar código arbitrario en el sistema, lo que podría llevar a una variedad de consecuencias, incluyendo la exfiltración de datos confidenciales, la instalación de malware o la toma del control completo del sistema.

👁️ Qué vigilar

• Parche disponible: Palo Alto Networks ha lanzado un parche para las versiones afectadas de PAN-OS.
• IOCs: Los análisis de seguridad deben estar atentos a tráfico anormal que se dirija al portal de autenticación User-ID.
• Recomendaciones: Las organizaciones deben aplicar el parche de inmediato y reevaluar sus protocolos de seguridad para prevenir futuras vulnerabilidades similares.

🔗 Fuente consultada: Palo Alto Networks PSIRT

---

---

Vulnerabilidad — CVE-2026-0264 PAN-OS: Heap-Based Buffer Overflow en DNS Proxy y DNS Server permite Ejecución Remota de Código no Autenticada (Gravedad: ALTA)

🔍 Qué está pasando

• Se ha descubierto una vulnerabilidad de desbordamiento de buffer en la pila en el servidor DNS y el proxy DNS de PAN-OS.
• La vulnerabilidad permite la ejecución remota de código no autenticada.
• El CVE ID es CVE-2026-0264.

⚠️ Por qué importa

La vulnerabilidad en PAN-OS puede ser explotada por atacantes no autenticados, lo que permite la ejecución de código arbitrario en el sistema. Esto puede llevar a la pérdida de control total del sistema y a la exfiltración de datos confidenciales. Las organizaciones que utilizan PAN-OS deben tomar medidas inmediatas para mitigar la vulnerabilidad y evitar cualquier posible impacto.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando el servidor DNS o el proxy DNS de PAN-OS procesa un paquete DNS malformado. El paquete DNS contiene una cadena de longitud excesiva que causa un desbordamiento de buffer en la pila. Esto permite a los atacantes ejecutar código arbitrario en el sistema, sin necesidad de autenticación.

👁️ Qué vigilar

• Parche disponible: Palo Alto Networks ha liberado un parche para la vulnerabilidad. Las organizaciones deben aplicar el parche lo antes posible.
• IOCs: Los atacantes pueden utilizar herramientas de escaneo de vulnerabilidades para detectar sistemas vulnerables. Las organizaciones deben monitorear su redes para detectar cualquier actividad sospechosa.
• Recomendaciones: Las organizaciones deben asegurarse de que su sistema de gestión de vulnerabilidades esté actualizado y que los parches se apliquen de forma automática. También deben realizar un análisis de riesgo para identificar cualquier sistema vulnerable y aplicar parches y actualizaciones de seguridad lo antes posible.

🔗 Fuente consultada: Palo Alto Networks PSIRT