Resumen ejecutivo
Cisco ha reportado múltiples vulnerabilidades críticas en sus plataformas IOS, IOS XE y Secure Firewall. La CVE-2026-20084 (CVSS 8.6) permite a un atacante remoto no autenticado causar una denegación de servicio (DoS) mediante el reenvío de paquetes BOOTP entre VLANs, lo que puede resultar en fugas de VLAN y alto uso de CPU. La CVE-2026-20086 (CVSS 8.6) afecta a los controladores Catalyst CW9800, permitiendo un DoS por medio de paquetes CAPWAP malformados, provocando reinicios inesperados. La CVE-2026-20012 (CVSS 8.6) en IKEv2 también puede causar DoS mediante paquetes maliciosos. Se requiere actualización urgente a versiones corregidas, ya que no existen soluciones temporales efectivas. Actualmente, no se ha reportado explotación activa de estas vulnerabilidades.
Recursos afectados
- Cisco IOS XE Software for Catalyst 9200 Series Switches
- Cisco IOS XE Software for Catalyst ESS9300 Embedded Series Switches
- Cisco IOS XE Software for Catalyst IE9310 Rugged Series Switches
- Cisco IOS XE Software for Catalyst IE9320 Rugged Series Switches
- Cisco IOS XE Software for IE3500 Rugged Series Switches
- Cisco IOS XE Software for IE3505 Rugged Series Switches
- Cisco IOS XE Wireless Controller Software for Catalyst CW9800H Wireless Controllers
- Cisco IOS XE Wireless Controller Software for Catalyst CW9800M Wireless Controllers
- Cisco IOS XE Software (no versiones específicas mencionadas, pero relevante a la vulnerabilidad TLS)
- Cisco IOS XE Software Release 3E (con HTTP Server habilitado)
- Cisco IOS XE Software para Catalyst 9000 Series Switches
- Cisco IOS Software
- Cisco IOS XE Software
- Cisco Secure Firewall Adaptive Security Appliance Software
- Cisco Secure Firewall Threat Defense Software
Análisis técnico
- CVE-2026-20084: Una vulnerabilidad en la función de DHCP snooping del software Cisco IOS XE permite a un atacante remoto no autenticado causar el reenvío de paquetes BOOTP entre VLANs, provocando una condición de denegación de servicio (DoS). Un atacante puede explotar esta vulnerabilidad enviando paquetes de solicitud BOOTP a un dispositivo afectado. Esta explotación puede resultar en fugas de VLAN y un alto uso de CPU, dejando al dispositivo inalcanzable y sin capacidad para reenviar tráfico. Existen soluciones alternativas para mitigar esta vulnerabilidad.
- CWE-400
- CVSS: 8.6 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
- Explotación: No detectada
- CVE-2026-20086: Una vulnerabilidad en el procesamiento de paquetes CAPWAP en el software Cisco IOS XE de los controladores inalámbricos Catalyst CW9800 podría permitir a un atacante remoto y no autenticado provocar una denegación de servicio (DoS) en el dispositivo afectado. El impacto incluye el reinicio inesperado del dispositivo, lo cual interrumpe su funcionamiento. Para explotar esta vulnerabilidad, el atacante debe enviar un paquete CAPWAP malformado a un dispositivo vulnerable.
- CWE-230
- CVSS: 8.6 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
- Explotación: No detectada
- CVE-2026-20012: Una vulnerabilidad en la función IKEv2 de Cisco IOS, Cisco IOS XE, Cisco Secure Firewall ASA y Cisco Secure Firewall FTD permite a un atacante remoto no autenticado provocar una fuga de memoria, causando una denegación de servicio (DoS). Esto ocurre por un análisis incorrecto de los paquetes IKEv2. El atacante necesita enviar paquetes IKEv2 maliciosos para explotar esta vulnerabilidad, lo que puede llevar a la inestabilidad del sistema y requerir un reinicio manual del dispositivo afectado.
- CWE-401
- CVSS: 8.6 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
- Explotación: No detectada
- CVE-2026-20125: Una vulnerabilidad en la función HTTP Server de Cisco IOS y Cisco IOS XE Software Release 3E permite que un atacante remoto autenticado cause una recarga inesperada del dispositivo, lo que resulta en una denegación de servicio (DoS). El impacto potencial es la interrupción del servicio del dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debe contar con una cuenta de usuario válida y puede hacerlo enviando solicitudes HTTP malformadas.
- CWE-228
- CVSS: 7.7 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
- Explotación: No detectada
- CVE-2026-20004: Una vulnerabilidad en la biblioteca TLS del software Cisco IOS XE podría permitir que un atacante adyacente no autenticado agote la memoria disponible del dispositivo afectado. Esto podría resultar en un reinicio inesperado y una condición de denegación de servicio (DoS). Para explotar esta vulnerabilidad, el atacante podría desencadenar repetidamente condiciones que incrementen el uso de memoria, por ejemplo, intentando la autenticación EAP local de forma continua o realizando un ataque "maquina-en-el-medio" para restablecer las conexiones TLS.
- CWE-771
- CVSS: 7.4 (alta)
- Vector CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
- Explotación: No detectada
- CVE-2026-20104: Una vulnerabilidad en el bootloader del software Cisco IOS XE para varios modelos de switches podría permitir a un atacante autenticado con privilegios de nivel 15 o a un atacante no autenticado con acceso físico al dispositivo ejecutar código arbitrario en el momento del arranque. El impacto potencial es alto, ya que permite eludir una característica de seguridad crítica del dispositivo. La explotación requiere manipular los binarios cargados en el dispositivo afectado durante el proceso de arranque.
- CWE-124
- CVSS: 6.1 (media)
- Vector CVSS: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
- Explotación: No detectada
Mitigación / Solución
Cisco recomienda a los clientes que actualicen a las versiones de software corregidas mencionadas en los avisos de seguridad específicos para cada vulnerabilidad. Además, para el caso de la vulnerabilidad del DHCP snooping en los switches Catalyst 9000, se sugiere la configuración del comando ip dhcp relay bootp ignore en dispositivos afectados si no necesitan manejar tráfico BOOTP. Cisco proporciona la herramienta Cisco Software Checker para ayudar a los clientes a identificar las versiones vulnerables de su software y las primeras versiones que corrigen dichas vulnerabilidades.