El primer semestre de 2026 dejó cinco vulnerabilidades críticas con CVSS ≥ 9.0 que siguen sin parchar en buena parte del parque LATAM. Las elegimos por exposición real medida en escaneos de Astrum, no por hype mediático.
Las 5 CVEs que más vemos en producción
Tabla resumen. Detalles técnicos y mitigación de cada una más abajo.
CVE | Componente | CVSS | Exploit público |
|---|---|---|---|
| OpenSSL 3.x | 9.8 | Sí |
| Apache Tomcat | 9.4 | Sí |
| Atlassian Confluence | 9.6 | Sí |
| Ivanti EPM Cloud | 9.1 | No (POC privado) |
| WebLogic Server | 9.3 | Sí |
1 · CVE-2026-1729 — Memory corruption en OpenSSL 3.x
Afecta versiones 3.0.0 hasta 3.3.1. Permite ejecución remota cuando el servidor procesa un certificado X.509 malformado durante el TLS handshake.
Detección rápida:
# Listar versiones de OpenSSL en hosts gestionados
ansible all -m shell -a "openssl version" | grep -E "1\.|2\.|3\.[0-3]\.[0-9]"
# Verificar binarios sin Ansible (en un solo host)
openssl version
# OpenSSL 3.3.1 ← vulnerable
# Verificar que el server esté usando la versión parchada
ldd $(which nginx) | grep sslMitigación:
- Actualizar a OpenSSL ≥ 3.3.2 (Ubuntu/Debian:
apt update && apt upgrade libssl3). - Reiniciar todos los servicios que linkean con OpenSSL: nginx, postgres, redis, apache, etc.
- Validar con
openssl s_client -connect host:443que el negotiation funcione.
2 · CVE-2026-0451 — Path traversal en Apache Tomcat
Tomcat 10.x sin sanitizar correctamente paths con encoding doble (%252e%252e). El atacante puede leer archivos arbitrarios del filesystem, incluyendo /etc/passwd y secretos en conf/server.xml.
"En el escaneo de Q1 2026 encontramos 73% de instalaciones Tomcat en LATAM con esta CVE explotable. La mitigación es trivial pero nadie la aplica."
— Auditoría interna Astrum, mar/2026
# Verificar versión vulnerable
curl -sI http://target:8080/ | grep -i server
# Server: Apache Tomcat/10.1.18 ← vulnerable
# POC seguro (head request, no destructivo)
curl -sI "http://target:8080/%252e%252e/%252e%252e/WEB-INF/web.xml"
# HTTP/1.1 200 OK ← respondió → vulnerableQué controles aplicar HOY
Más allá del patch específico de cada CVE, hay 4 controles transversales que cortan el blast radius:
- Network segmentation: servidores expuestos a internet en VLAN separada de la red corporativa. Si caen, no contagian.
- Asset inventory automático: escaneo diario con OpenVAS / Nessus / Wazuh + alerta cuando aparece una versión vulnerable.
- Patch cadence semanal: martes y jueves a las 22h hay ventanas de patching. Sin excepciones.
- Runbook de respuesta: quién hace qué, en qué orden, en las primeras 48h post-divulgación de una CVE crítica.