Vulnerabilidades criticas en Langflow, Juniper, IceWarp y Ciser System | Ciberseguridad Extremadura
Alertas activas: INCIBE-CERT ha publicado avisos criticos que afectan a Langflow (RCE sin parche disponible), Juniper Networks Junos OS Evolved (RCE como root sin autenticacion) y Ciser System SL (inyeccion SQL con CVSS 9.3). Adicionalmente, mas de 1.200 servidores IceWarp siguen expuestos a una vulnerabilidad de ejecucion remota de codigo sin autenticacion previa con puntuacion CVSS 9.8.
El panorama de ciberseguridad de esta semana concentra alertas de maxima severidad en plataformas de automatizacion con inteligencia artificial, infraestructura de red empresarial, firmware de fabricante espanol y servidores de comunicacion corporativa. Para las empresas y pymes de Extremadura que operan con cualquiera de estos productos, la aplicacion de parches o de las medidas de mitigacion disponibles es prioritaria.
Ciberseguridad para empresas en Extremadura
Analisis de vulnerabilidades, respuesta ante incidentes, auditoria de seguridad, pentesting y formacion especializada.
Ver servicios de CIBEREXTCVE-2026-27966: RCE critica en Langflow sin parche disponible
INCIBE-CERT ha publicado el aviso INCIBE-2026-156 sobre una vulnerabilidad critica de ejecucion remota de codigo (RCE) en el agente CSV de Langflow, la plataforma de automatizacion de flujos de trabajo con inteligencia artificial. El fallo, identificado como CVE-2026-27966, afecta a Langflow en la version 1.8.0rc2 y todas las anteriores.
El problema reside en que el nodo Agente CSV codifica de forma fija el parametro allow_dangerous_code=True, lo que expone la herramienta REPL de Python de LangChain (python_repl_ast). Un atacante puede explotar este fallo mediante inyeccion de prompt para ejecutar comandos arbitrarios de Python y del sistema operativo en el servidor, tomando el control total del entorno. No existe actualizacion disponible en el momento de publicacion del aviso. INCIBE recomienda como medidas provisionales establecer el parametro allow_dangerous_code=False de forma predeterminada o eliminarlo de la configuracion.
Alerta critica sin parche: las empresas que utilicen Langflow en sus procesos de automatizacion con IA deben aplicar de forma inmediata las medidas de mitigacion indicadas por INCIBE-CERT y restringir el acceso a la instancia desde redes no confiables mientras no exista una actualizacion oficial disponible. La supervision activa de los logs del servidor es imprescindible para detectar intentos de explotacion.
CVE-2026-21902: Juniper Networks permite ejecucion de codigo como root sin autenticacion
Juniper Networks ha informado de una vulnerabilidad critica en Junos OS Evolved para la serie PTX (aviso INCIBE-2026-145), identificada como CVE-2026-21902. El fallo se origina en una asignacion incorrecta de permisos en el marco de deteccion de anomalias On-Box, cuyo puerto de acceso queda expuesto externamente. Un atacante remoto sin necesidad de autenticacion previa puede ejecutar codigo arbitrario como root, obteniendo el control total del dispositivo afectado.
Las versiones afectadas son Junos OS Evolved en la serie PTX en versiones 25.4 anteriores a 25.4R1-S1-EVO y 25.4R2-EVO. Juniper ha publicado parches en las versiones 25.4R1-S1-EVO, 25.4R2-EVO y 26.2R1-EVO. Como medida de mitigacion inmediata, INCIBE recomienda implementar listas de acceso o filtros de firewall para limitar la conectividad al dispositivo unicamente desde redes y hosts de confianza.
Impacto en infraestructura critica: los routers de la serie PTX de Juniper son habituales en redes de proveedores de servicios, centros de datos y grandes entornos corporativos. La posibilidad de ejecucion de codigo como root sin autenticacion convierte este fallo en un vector de alto riesgo para el movimiento lateral y el compromiso de la infraestructura de red completa. La actualizacion debe priorizarse de forma urgente.
CVE-2026-2584: inyeccion SQL critica en firmware de Ciser System SL (CVSS 9.3)
INCIBE ha coordinado la publicacion del aviso INCIBE-2026-157 sobre una vulnerabilidad de inyeccion SQL (SQLi) en el firmware CSIP de Ciser System SL, empresa espanola del sector de las telecomunicaciones. El CVE asignado es CVE-2026-2584, con una puntuacion CVSS v4.0 de 9.3 (vector AV:N/AC:L/AT:N/PR:N/UI:N). El fallo afecta a las versiones de firmware de la 3.0 hasta la 5.1.
Un atacante remoto no autenticado puede enviar consultas SQL especialmente disenadas a traves de la interfaz de inicio de sesion, comprometiendo completamente los datos de configuracion del sistema (confidencialidad e integridad altas) y pudiendo exponer informacion de sistemas interconectados. El fabricante ha solucionado la vulnerabilidad en la version 5.3 o superior del firmware mediante logica de validacion de entradas mejorada y consultas parametrizadas. Como medidas inmediatas, INCIBE recomienda restringir el acceso al panel de administracion mediante listas de permitidos y segmentar la interfaz de gestion en una VLAN dedicada accesible solo por VPN corporativa.
Relevancia para empresas espanolas: Ciser System SL es un fabricante nacional. Los equipos con firmware CSIP en versiones 3.0 a 5.1 deben actualizarse a la version 5.3 o superior de forma prioritaria. La vulnerabilidad no requiere autenticacion previa, lo que amplia considerablemente la superficie de ataque en instalaciones con acceso a internet.
CVE-2025-14500: mas de 1.200 servidores IceWarp sin parchear frente a RCE sin autenticacion
CVE-2025-14500 es una vulnerabilidad critica de inyeccion de comandos del sistema operativo (OS Command Injection, CWE-78) que afecta a IceWarp 14, con puntuacion CVSS 9.8. El problema reside en el procesamiento del encabezado HTTP X-File-Operation, que no valida correctamente los datos del usuario antes de incorporarlos a una llamada al sistema operativo. CVE-2025-14500 no figura en el catalogo de INCIBE-CERT, por lo que la referencia tecnica definitiva corresponde al registro del NVD (NIST).
Un atacante remoto puede, sin ninguna autenticacion previa, ejecutar comandos arbitrarios con privilegios de SYSTEM o root sobre el servidor afectado en entornos Windows y Linux. Investigadores de seguridad han confirmado que mas de 1.200 instancias de IceWarp accesibles desde internet permanecen sin parchear. Las consecuencias incluyen exfiltracion de datos, instalacion de backdoors, movimiento lateral y despliegue de ransomware.
Accion urgente: los administradores que gestionen servidores IceWarp deben aplicar el parche de forma inmediata. Se recomienda revisar los registros del servidor en busca de usos anomalos del encabezado X-File-Operation como posible indicador de compromiso previo antes de actualizar.
Resumen de vulnerabilidades activas
| CVE | Producto | CVSS | Tipo | Parche |
|---|---|---|---|---|
| CVE-2026-27966 | Langflow <= 1.8.0rc2 | Critica | RCE via prompt injection | Sin parche. Mitigacion manual |
| CVE-2026-21902 | Juniper Junos OS Evolved PTX | Critica | RCE como root sin auth | Disponible: 25.4R1-S1-EVO / 26.2R1-EVO |
| CVE-2025-14500 | IceWarp 14 | 9.8 | OS Command Injection sin auth | Disponible. 1.200+ sin parchear |
| CVE-2026-2584 | Ciser System SL CSIP 3.0-5.1 | 9.3 | Inyeccion SQL sin auth | Actualizar a firmware 5.3 |
Medidas de hardening ante el panorama actual
- Deshabilitar allow_dangerous_code en Langflow: establecer el parametro
allow_dangerous_code=Falsede forma permanente en todas las instancias hasta que exista actualizacion oficial. Aislar la instancia de redes publicas y supervisar los logs en busca de ejecuciones anomalas de Python. - Actualizar Juniper Junos OS Evolved: priorizar la actualizacion a las versiones 25.4R1-S1-EVO, 25.4R2-EVO o 26.2R1-EVO. Aplicar de forma inmediata filtros de firewall para restringir el acceso al marco de deteccion de anomalias desde redes no confiables.
- Actualizar firmware Ciser System SL: migrar a la version 5.3 o superior. Mientras tanto, restringir el acceso al panel de administracion e implementar segmentacion de red con VLAN de gestion accesible solo por VPN.
- Parchear IceWarp de forma inmediata: revisar los logs del servidor buscando usos anomalos del encabezado
X-File-Operationcomo indicador de compromiso previo. Verificar la integridad del sistema antes de aplicar el parche si hay actividad sospechosa. - Inventario de activos actualizado: la presencia de vulnerabilidades criticas en productos de uso cotidiano subraya la importancia de mantener un inventario actualizado de software y firmware, base del cumplimiento de ISO 27001, el ENS y la directiva NIS2.
- Monitorizacion SIEM y EDR: las vulnerabilidades de tipo RCE sin autenticacion activan vectores de ataque que los sistemas de deteccion y respuesta pueden identificar en sus fases post-explotacion (movimiento lateral, escalada de privilegios, exfiltracion). Revisar las reglas de correlacion en consecuencia.
CIBEREXT pone a disposicion de las empresas y pymes de Extremadura servicios especializados en analisis de vulnerabilidades, pentesting, respuesta ante incidentes y acompanamiento en el cumplimiento de ISO 27001, el Esquema Nacional de Seguridad (ENS) y la directiva NIS2. Contacta con el equipo de CIBEREXT para mas informacion.
Servicios de ciberseguridad para empresas y pymes en Caceres, Badajoz y toda Extremadura
CIBEREXT se celebra y desarrolla dentro del marco del Proyecto CIBERREG, una iniciativa de la Junta de Extremadura en colaboracion con Incibe y cofinanciada con fondos de la Union Europea - NextGenerationEU
Referencias
- INCIBE-CERT - INCIBE-2026-156: Ejecucion remota de codigo en el agente CSV de Langflow (02/03/2026): https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-el-agente-csv-de-langflow
- INCIBE-CERT - INCIBE-2026-157: Inyeccion SQL en el firmware de Ciser System SL (02/03/2026): https://www.incibe.es/incibe-cert/alerta-temprana/avisos/inyeccion-sql-en-el-firmware-de-ciser-system-sl
- INCIBE-CERT - INCIBE-2026-145: Ejecucion de codigo en Junos OS Evolved de Juniper Networks (26/02/2026): https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-de-codigo-en-junos-os-evolved-de-juniper-networks
- NVD (NIST) - CVE-2025-14500 IceWarp OS Command Injection (CVSS 9.8): https://nvd.nist.gov/vuln/detail/CVE-2025-14500
- SocDefenders - Over 1.200 IceWarp servers vulnerable to unauthenticated RCE (03/03/2026): https://www.socdefenders.ai/item/c6b237b4-14ff-445e-8525-a92aef1e5b78
- INCIBE-CERT - Portal de avisos y vulnerabilidades: https://www.incibe.es/incibe-cert/alerta-temprana/avisos
