Contexto
Esta é a Notificação de Vulnerabilidades (NDV) referente ao mês de fevereiro de 2026. Neste documento, produzido pelo time de Inteligência de Ameaças Cibernéticas da SEK, estão listadas as principais vulnerabilidades catalogadas no último mês.
Em nossa análise, priorizamos as vulnerabilidades críticas e altas presentes nos produtos e tecnologias mais relevantes e utilizados na indústria. Cabe pontuar que este é um documento direcionado à comunidade de cibersegurança como um todo. Para um trabalho mais específico, recomendamos a contratação de nosso serviço de gestão de vulnerabilidades, cujo foco está na detecção e mitigação de vulnerabilidades encontradas em todo o parque de nossos clientes de forma personalizada.
Para cada vulnerabilidade listada neste documento, especificamos as versões e sistemas afetados e indicamos uma remediação de contorno e uma solução, para que nossos clientes possam atuar de forma imediata caso utilizem o produto ou tecnologia vulnerável. Lembramos que a remediação de contorno – se houver – é uma medida de caráter contingencial, que não soluciona o problema por completo. Reforçamos, sempre, a necessidade de atualização do serviço ou produto afetado o mais rápido possível.
A SEK se coloca à disposição para ajudar seus clientes a corrigirem as vulnerabilidades listadas neste documento. Reforçamos, ainda, a importância da manutenção de um serviço periódico de gestão de vulnerabilidades e implementação de patches, tendo em vista o cenário crescente de aumento de superfície de ataque e de atores de ameaça em todo o mundo.
Sumário
Clique nos cards para navegar até a vulnerabilidade específica
Dell RecoverPoint for Virtual Machines
Oracle HTTP Server e WebLogic Server Proxy Plug-in
BeyondTrust Remote Support e Privileged Remote Access
Ivanti Endpoint Manager Mobile (EPMM)
Fortinet FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb
n8n
Google Chrome
Microsoft Windows — MSHTML Framework
Microsoft Windows — Windows Shell
Cisco Unified Communications Manager e produtos relacionados
Microsoft Office
Microsoft Office Word
Microsoft Windows — Desktop Window Manager (DWM)
Microsoft Windows — Remote Desktop Services
THINK AHEAD, ACT NOW.
Dell RecoverPoint for Virtual Machines
Descrição
A falha consiste na presença de credenciais fixas (hardcoded) em arquivos de configuração associados ao Apache Tomcat Manager nos appliances Dell RecoverPoint. Um atacante remoto não autenticado que possua conhecimento dessas credenciais pode obter acesso não autorizado ao sistema operacional subjacente e estabelecer persistência com privilégios de root. A vulnerabilidade foi explorada ativamente como zero-day desde meados de 2024, permitindo a implantação dos malwares GRIMBOLT e BRICKSTORM para espionagem de longo prazo e comprometimento de ambientes VMware.
Sistemas afetados
- Dell RecoverPoint for Virtual Machines — versões anteriores a 6.0.3.1 HF1
- Dell RecoverPoint for Virtual Machines versão 5.3 SP4 P1 — requer migração para a versão 6.0 SP3 e posterior atualização para 6.0.3.1 HF1
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A Dell recomenda que os clientes atualizem imediatamente para a versão 6.0.3.1 HF1 ou apliquem uma das remediações disponibilizadas conforme o advisory DSA-2026-079. Clientes na versão 5.3 SP4 P1 devem migrar primeiro para a 6.0 SP3.
Fontes primárias e secundárias
Oracle HTTP Server e Oracle WebLogic Server Proxy Plug-in
Descrição
Uma falha de controle de acesso inadequado nos componentes WebLogic Server Proxy Plug-in para Apache HTTP Server e Microsoft IIS permite que um atacante remoto não autenticado, com acesso à rede via HTTP, comprometa o Oracle HTTP Server e o Oracle WebLogic Server Proxy Plug-in sem necessidade de credenciais ou interação do usuário. A exploração bem-sucedida pode resultar em criação, modificação ou exclusão não autorizada de dados críticos, bem como acesso completo a dados acessíveis pelos componentes afetados. Devido à mudança de escopo da vulnerabilidade, ataques podem impactar outros produtos além do componente inicialmente comprometido.
Sistemas afetados
- Oracle HTTP Server e WebLogic Server Proxy Plug-in para Apache HTTP Server — versões 12.2.1.4.0, 14.1.1.0.0 e 14.1.2.0.0
- WebLogic Server Proxy Plug-in para IIS — versão 12.2.1.4.0 (única versão afetada neste componente)
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Aplicar os patches disponibilizados pela Oracle no Critical Patch Update de janeiro de 2026, conforme orientações do advisory oficial da Oracle.
Fontes primárias e secundárias
BeyondTrust Remote Support e Privileged Remote Access
Descrição
Uma falha de injeção de comandos no componente thin-scc-wrapper, acessível via WebSocket, permite que um atacante remoto não autenticado execute comandos arbitrários do sistema operacional sem necessidade de credenciais ou interação do usuário. A vulnerabilidade decorre de uma avaliação aritmética insegura do Bash sobre dados controlados pelo atacante transmitidos durante o handshake WebSocket. A exploração bem-sucedida pode resultar em comprometimento total do sistema, exfiltração de dados, instalação de backdoors e movimentação lateral na rede.
Sistemas afetados
- BeyondTrust Remote Support (RS) — versões anteriores ao patch BT26-02 (fevereiro de 2026)
- BeyondTrust Privileged Remote Access (PRA) — versões mais antigas não inscritas em atualização automática
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A BeyondTrust aplicou o patch automaticamente em todos os clientes SaaS em 2 de fevereiro de 2026. Clientes com instâncias self-hosted de Remote Support e Privileged Remote Access que não estejam inscritos em atualizações automáticas devem aplicar o patch manualmente por meio da interface do appliance, conforme o advisory BT26-02.
Fontes primárias e secundárias
Ivanti Endpoint Manager Mobile (EPMM)
Descrição
Duas vulnerabilidades críticas de injeção de código afetam os recursos In-House Application Distribution e Android File Transfer Configuration do Ivanti EPMM (CVE-2026-1281 e CVE-2026-1340). Ambas as falhas residem em scripts Bash legados utilizados pelo servidor Apache para reescrita de URLs e permitem que um atacante remoto não autenticado execute comandos arbitrários no sistema operacional do appliance por meio de requisições HTTP especialmente construídas, sem necessidade de credenciais ou interação do usuário. A exploração bem-sucedida pode resultar em comprometimento total do appliance, acesso não autorizado a dispositivos móveis gerenciados e movimentação lateral na rede corporativa.
Sistemas afetados
- Ivanti EPMM versão 12.5.x — aplicar RPM 12.5.x.x (patch temporário)
- Ivanti EPMM versão 12.6.x — aplicar RPM 12.6.x.x (patch temporário)
- Ivanti EPMM versão 12.7.x — aplicar RPM 12.7.x.x (patch temporário)
Observação: Os patches de RPM são específicos por versão e não persistem após atualizações de versão; devem ser reaplicados caso o appliance seja atualizado.
Remediações de contorno
O fabricante não divulgou remediações de contorno para estas vulnerabilidades.
Solução
A Ivanti disponibilizou patches de RPM temporários para as versões afetadas, que devem ser aplicados imediatamente conforme o advisory de segurança. A correção definitiva está prevista para a versão 12.8.0.0, com lançamento no primeiro trimestre de 2026. Instâncias comprometidas não devem ser limpas manualmente; a Ivanti recomenda restaurar o appliance a partir de um backup íntegro ou reconstruí-lo e migrar os dados para um novo ambiente.
Fontes primárias e secundárias
Fortinet FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb
Descrição
Uma falha no mecanismo de autenticação via FortiCloud Single Sign-On (SSO) permite que um atacante com uma conta FortiCloud e um dispositivo registrado acesse outros dispositivos associados a contas distintas, contornando os controles de autenticação. A exploração desta vulnerabilidade resultou em acesso administrativo não autorizado a dispositivos FortiGate, criação de contas locais de administrador para fins de persistência e exfiltração de configurações de firewall e VPN. A vulnerabilidade só é explorável em dispositivos com o FortiCloud SSO habilitado e não é replicável por implementações SAML de terceiros ou FortiAuthenticator.
Sistemas afetados
- FortiOS 7.0.0–7.0.18 / 7.2.0–7.2.12 / 7.4.0–7.4.10 / 7.6.0–7.6.5
- FortiManager 7.0.0–7.0.15 / 7.2.0–7.2.11 / 7.4.0–7.4.9 / 7.6.0–7.6.5
- FortiAnalyzer 7.0.0–7.0.15 / 7.2.0–7.2.11 / 7.4.0–7.4.9 / 7.6.0–7.6.5
- FortiProxy 7.0.0–7.0.22 / 7.2.0–7.2.15 / 7.4.0–7.4.12 / 7.6.0–7.6.4
- FortiWeb 7.4.0–7.4.11 / 7.6.0–7.6.6 / 8.0.0–8.0.3
Observação: FortiAnalyzer 6.4, FortiManager 6.4 e FortiOS 6.4 não são afetados.
Remediações de contorno
A Fortinet desabilita o FortiCloud SSO em dispositivos com versões vulneráveis no lado do servidor. Para reabilitar o recurso, é necessário atualizar para uma versão corrigida. Adicionalmente, o fabricante recomenda restringir o acesso administrativo a interfaces de gerenciamento por meio de regras de firewall e local-in policies, limitando os endereços IP com permissão de acesso.
Solução
Atualizar imediatamente os produtos afetados para as versões corrigidas disponibilizadas pela Fortinet, conforme o advisory FG-IR-26-060. Organizações que identificarem indícios de comprometimento devem restaurar a configuração do dispositivo a partir de uma versão limpa conhecida e rotacionar todas as credenciais, incluindo contas LDAP/AD integradas.
Fontes primárias e secundárias
n8n
Descrição
Uma falha no mecanismo de avaliação de expressões do n8n permite que um usuário autenticado com permissão para criar ou modificar workflows injete expressões JavaScript especialmente construídas nos parâmetros do workflow, escapando do sandbox e executando comandos arbitrários no sistema operacional do servidor. A vulnerabilidade decorre de uma discrepância entre a verificação de tipos em tempo de compilação do TypeScript e o comportamento em tempo de execução do JavaScript, permitindo que valores não-string contornem as verificações de sanitização. Quando combinada com webhooks públicos sem autenticação, a falha pode ser explorada por qualquer atacante remoto sem necessidade de credenciais adicionais.
Sistemas afetados
- n8n — todas as versões anteriores a 1.123.17 (série 1.x)
- n8n — versões da série 2.x de 2.0.0 até anteriores a 2.5.2
Remediações de contorno
O fabricante recomenda, como medida temporária, restringir as permissões de criação e edição de workflows exclusivamente a usuários plenamente confiáveis, e executar instâncias do n8n em ambientes isolados com privilégios mínimos de sistema operacional e acesso restrito à rede. O fabricante ressalta que essas medidas não eliminam a vulnerabilidade.
Solução
Atualizar imediatamente o n8n para a versão 1.123.17 ou 2.5.2 (ou versões posteriores), conforme o advisory publicado sob GHSA-6cqr-8cfr-67f8. Instâncias comprometidas devem ter credenciais e tokens de API rotacionados.
Fontes primárias e secundárias
Google Chrome
Descrição
Uma falha de use-after-free no componente CSS do Google Chrome permite que um atacante remoto execute código arbitrário dentro do sandbox do navegador por meio de uma página HTML especialmente construída. A vulnerabilidade decorre de acesso indevido a regiões de memória liberadas durante o processamento de regras CSS, possibilitando a manipulação do layout do heap para execução de código malicioso. A exploração não requer autenticação e pode ser desencadeada simplesmente pela visita a uma página web maliciosa.
Sistemas afetados
- Google Chrome para Windows e macOS — versões anteriores a 145.0.7632.75/76
- Google Chrome para Linux — versões anteriores a 144.0.7559.75
- Navegadores baseados no motor Chromium (Opera, Vivaldi, Brave, Microsoft Edge) — versões anteriores ao upstream correspondente ao Chrome 145
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Atualizar o Google Chrome para a versão 145.0.7632.75/76 (Windows/macOS) ou 144.0.7559.75 (Linux), disponibilizada em 13 de fevereiro de 2026. Após a atualização, é necessário reiniciar o navegador para que a versão corrigida seja carregada. Administradores de ambientes corporativos devem verificar a propagação do patch via Google Admin Console ou ferramentas de gerenciamento de endpoints.
Fontes primárias e secundárias
Microsoft Windows — MSHTML Framework
Descrição
Uma falha no mecanismo de proteção do componente MSHTML (Trident) do Windows permite que um atacante remoto não autenticado contorne controles de segurança por meio da abertura de um arquivo HTML ou de atalho (.lnk) especialmente construído. A vulnerabilidade reside na lógica de navegação por hiperlinks dentro do módulo ieframe.dll, onde a validação insuficiente da URL de destino possibilita a invocação de ShellExecuteExW com entradas controladas pelo atacante, permitindo a execução de recursos locais ou remotos fora do contexto de segurança esperado do navegador. A exploração pode resultar em comprometimento total da confidencialidade, integridade e disponibilidade do sistema.
Sistemas afetados
- Windows 10 versões 1607, 1809, 21H2 e 22H2
- Windows 11 versões 22H3, 23H2, 24H2, 25H2 e 26H1
- Windows Server 2012, 2012 R2, 2016, 2019, 2022 e 2025 (incluindo instalações Server Core)
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Aplicar as atualizações cumulativas de segurança de fevereiro de 2026 (Patch Tuesday, 10 de fevereiro de 2026) disponibilizadas pela Microsoft para todas as versões afetadas do Windows via Windows Update, WSUS, Intune ou Configuration Manager.
Fontes primárias e secundárias
Microsoft Windows — Windows Shell
Descrição
Uma falha no mecanismo de proteção do componente Windows Shell permite que um atacante remoto não autenticado contorne controles de segurança — incluindo o Windows SmartScreen e os avisos de zona de segurança baseados no Mark of the Web — por meio da entrega de um arquivo de atalho (.lnk) ou link malicioso. A exploração requer que o usuário interaja com o conteúdo enviado pelo atacante, mas uma vez realizada essa interação, as proteções que normalmente impediriam a execução de conteúdo de origem não confiável são suprimidas, podendo resultar em execução de código arbitrário com alto impacto sobre a confidencialidade, integridade e disponibilidade do sistema.
Sistemas afetados
- Windows 10 versões 1607, 1809, 21H2 e 22H2
- Windows 11 versões 22H3, 23H2, 24H2, 25H2 e 26H1
- Windows Server 2012 R2, 2016, 2019, 2022 e 2025 (incluindo instalações Server Core)
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Aplicar as atualizações cumulativas de segurança de fevereiro de 2026 (Patch Tuesday, 10 de fevereiro de 2026) disponibilizadas pela Microsoft via Windows Update, WSUS, Intune ou Configuration Manager para todas as versões afetadas do Windows.
Fontes primárias e secundárias
Cisco Unified Communications Manager e produtos relacionados
Descrição
A falha decorre de validação inadequada de dados fornecidos pelo usuário em requisições HTTP direcionadas à interface de gerenciamento web dos dispositivos afetados. Um atacante remoto não autenticado pode enviar uma sequência de requisições HTTP especialmente construídas para explorar a vulnerabilidade, obtendo acesso inicial com privilégios de usuário no sistema operacional subjacente e, em seguida, escalando os privilégios para root. O comprometimento total do sistema pode resultar em acesso não autorizado, exfiltração de dados e interrupção de serviços. Embora a Cisco classifique esta vulnerabilidade como Crítica, o score CVSS calculado é 8.2.
Sistemas afetados
- Cisco Unified CM e Unified CM SME — versão 12.5 (migrar); versão 14 (anterior a 14SU5); versão 15 (anterior a 15SU4)
- Cisco Unified CM IM&P — versões 12.5, 14 e 15 nas mesmas condições
- Cisco Unity Connection — versão 12.5 (migrar); versão 14 (anterior a 14SU5); versão 15 (anterior a 15SU4)
- Cisco Webex Calling Dedicated Instance — versões 14 e 15 nas mesmas condições
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A Cisco disponibilizou atualizações de software que corrigem a vulnerabilidade. Recomenda-se atualizar para as versões corrigidas indicadas no advisory ou aplicar os arquivos de patch específicos por versão disponibilizados pela Cisco, conforme orientação em cisco-sa-voice-rce-mORhqY4b.
Fontes primárias e secundárias
Microsoft Office
Descrição
Uma falha na forma como o Microsoft Office valida entradas não confiáveis durante decisões de segurança permite que um atacante local não autenticado contorne as mitigações OLE (Object Linking and Embedding) integradas ao produto. A exploração requer que o usuário abra um arquivo Office especialmente construído enviado pelo atacante. Ao fazê-lo, controles COM/OLE vulneráveis são carregados sem as devidas restrições de segurança, podendo resultar em execução de código arbitrário, roubo de credenciais e estabelecimento de persistência. O painel de visualização não constitui vetor de ataque.
Sistemas afetados
- Microsoft Office 2016 (MSI) — aplicar KB5002713
- Microsoft Office 2019 — atualizar para a versão 1808 (Build 10417.20095) ou superior
- Microsoft Office LTSC 2021 — protegido via correção server-side após reinicialização dos aplicativos
- Microsoft Office LTSC 2024 — protegido via correção server-side após reinicialização dos aplicativos
- Microsoft 365 Apps for Enterprise — protegido via correção server-side após reinicialização dos aplicativos
Remediações de contorno
A Microsoft disponibilizou uma mitigação de registro (registry-based kill bit) para bloquear o carregamento do controle COM vulnerável Shell.Explorer.1, identificado pelo CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}, aplicável até que a atualização de segurança seja instalada.
Solução
Aplicar as atualizações emergenciais de segurança disponibilizadas pela Microsoft em 26 de janeiro de 2026. Usuários do Office 2021 e versões posteriores devem reiniciar os aplicativos do Office para ativar a proteção server-side. Usuários do Office 2016 e 2019 devem instalar a atualização via Windows Update, WSUS ou Microsoft Download Center.
Fontes primárias e secundárias
Microsoft Office Word
Descrição
Uma falha na validação de entradas não confiáveis em decisões de segurança do Microsoft Word permite que um atacante local não autenticado contorne as mitigações OLE integradas ao Microsoft 365 e ao Microsoft Office. A exploração exige que a vítima abra um arquivo Office malicioso enviado pelo atacante, sendo o painel de visualização excluído como vetor de ataque. Controles COM/OLE vulneráveis são carregados sem as devidas proteções, podendo resultar em execução de código com alto impacto sobre a confidencialidade, integridade e disponibilidade do sistema afetado.
Sistemas afetados
- Microsoft Office Word e Microsoft 365 — versões cobertas pelas atualizações cumulativas de fevereiro de 2026 (Patch Tuesday, 10 de fevereiro de 2026)
- Todos os sistemas Windows suportados com versões vulneráveis do Microsoft Word instaladas
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Aplicar as atualizações de segurança de fevereiro de 2026 disponibilizadas pela Microsoft via Windows Update, WSUS, Intune ou Configuration Manager para todas as versões afetadas do Microsoft Office Word.
Fontes primárias e secundárias
Microsoft Windows — Desktop Window Manager (DWM)
Descrição
Uma condição de type confusion no componente Desktop Window Manager (DWM) do Windows permite que um atacante local com privilégios mínimos eleve seus privilégios no sistema sem necessidade de interação do usuário. O DWM é responsável pela composição e renderização da interface gráfica da área de trabalho. A exploração bem-sucedida pode resultar em acesso total ao sistema com privilégios elevados, comprometendo a confidencialidade, integridade e disponibilidade do ambiente afetado. A vulnerabilidade foi explorada ativamente como zero-day antes da disponibilização do patch.
Sistemas afetados
- Windows 10 versões 1607, 1809, 21H2 e 22H2
- Windows 11 versões 22H3, 23H2, 24H2, 25H2 e 26H1
- Windows Server 2016, 2019, 2022 e 2025 (incluindo instalações Server Core)
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Aplicar as atualizações cumulativas de segurança de fevereiro de 2026 disponibilizadas pela Microsoft para todas as versões afetadas do Windows, por meio do Windows Update, WSUS, Intune ou Configuration Manager.
Fontes primárias e secundárias
Microsoft Windows — Remote Desktop Services
Descrição
Uma falha de gerenciamento inadequado de privilégios no componente Windows Remote Desktop Services permite que um atacante local com privilégios baixos eleve seus privilégios para o nível SYSTEM sem necessidade de interação do usuário. A exploração ocorre por meio de um binário malicioso que modifica uma chave de configuração de serviço no registro do Windows, substituindo-a por uma chave controlada pelo atacante, o que possibilita a adição de novas contas ao grupo de administradores e o comprometimento total do sistema. Apesar do nome do componente, o vetor de ataque é estritamente local e geralmente encadeado com outros métodos de acesso inicial.
Sistemas afetados
- Windows 10 versões 1607, 1809 e 21H2
- Windows 11 versões 25H2 e 26H1
- Windows Server 2012, 2019, 2022 e 2025 (incluindo instalações Server Core)
- Todos os sistemas Windows com o componente Remote Desktop Services habilitado
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Aplicar as atualizações cumulativas de segurança de fevereiro de 2026 (Patch Tuesday, 10 de fevereiro de 2026) disponibilizadas pela Microsoft via Windows Update, WSUS, Intune ou Configuration Manager. Recomenda-se desabilitar o Remote Desktop Services em sistemas onde o recurso não seja necessário e restringir o acesso RDP a redes confiáveis.
Fontes primárias e secundárias
Context
This is the Vulnerability Notification (NDV) for February 2026. In this document, produced by SEK's Cyber Threat Intelligence team, the main vulnerabilities cataloged in the last month are listed.
In our analysis, we prioritize critical and high vulnerabilities present in products and technologies most relevant and used in the industry. It should be noted that this is a document aimed at the cybersecurity community as a whole. For more specific work, we recommend hiring our vulnerability management service, whose focus is on the detection and mitigation of vulnerabilities found throughout our clients' infrastructure in a personalized way.
For each vulnerability listed in this document, we specify the affected versions and systems and indicate a workaround and a solution, so that our clients can act immediately if they use the vulnerable product or technology. We remind you that the workaround – if any – is a contingency measure, which does not completely solve the problem. We always emphasize the need to update the affected service or product as quickly as possible.
SEK is available to help its clients correct the vulnerabilities listed in this document. We also reinforce the importance of maintaining a periodic vulnerability management and patch implementation service, given the growing scenario of increased attack surface and threat actors worldwide.
Summary
Click on the cards to navigate to the specific vulnerability
Dell RecoverPoint for Virtual Machines
Oracle HTTP Server and WebLogic Server Proxy Plug-in
BeyondTrust Remote Support and Privileged Remote Access
Ivanti Endpoint Manager Mobile (EPMM)
Fortinet FortiOS, FortiManager, FortiAnalyzer, FortiProxy and FortiWeb
n8n
Google Chrome
Microsoft Windows — MSHTML Framework
Microsoft Windows — Windows Shell
Cisco Unified Communications Manager and related products
Microsoft Office
Microsoft Office Word
Microsoft Windows — Desktop Window Manager (DWM)
Microsoft Windows — Remote Desktop Services
THINK AHEAD, ACT NOW.
Dell RecoverPoint for Virtual Machines
Description
The flaw consists of the presence of hard-coded credentials in configuration files associated with Apache Tomcat Manager on Dell RecoverPoint appliances. A remote unauthenticated attacker with knowledge of these credentials can gain unauthorized access to the underlying operating system and establish persistence with root privileges. The vulnerability was actively exploited as a zero-day since mid-2024, enabling the deployment of GRIMBOLT and BRICKSTORM malware for long-term espionage and compromise of VMware environments.
Affected systems
- Dell RecoverPoint for Virtual Machines — versions prior to 6.0.3.1 HF1
- Dell RecoverPoint for Virtual Machines version 5.3 SP4 P1 — requires migration to version 6.0 SP3 followed by update to 6.0.3.1 HF1
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Dell recommends that customers immediately update to version 6.0.3.1 HF1 or apply one of the remediations made available per advisory DSA-2026-079. Customers on version 5.3 SP4 P1 must first migrate to 6.0 SP3.
Primary and secondary sources
Oracle HTTP Server and Oracle WebLogic Server Proxy Plug-in
Description
An improper access control flaw in the WebLogic Server Proxy Plug-in components for Apache HTTP Server and Microsoft IIS allows a remote unauthenticated attacker with network access via HTTP to compromise Oracle HTTP Server and Oracle WebLogic Server Proxy Plug-in without requiring credentials or user interaction. Successful exploitation may result in unauthorized creation, modification, or deletion of critical data, as well as complete access to data accessible by the affected components. Due to the vulnerability's scope change, attacks may impact products other than the initially compromised component.
Affected systems
- Oracle HTTP Server and WebLogic Server Proxy Plug-in for Apache HTTP Server — versions 12.2.1.4.0, 14.1.1.0.0, and 14.1.2.0.0
- WebLogic Server Proxy Plug-in for IIS — version 12.2.1.4.0 (only affected version in this component)
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Apply the patches provided by Oracle in the January 2026 Critical Patch Update, following the guidance in Oracle's official advisory.
Primary and secondary sources
BeyondTrust Remote Support and Privileged Remote Access
Description
A command injection flaw in the thin-scc-wrapper component, accessible via WebSocket, allows a remote unauthenticated attacker to execute arbitrary operating system commands without requiring credentials or user interaction. The vulnerability stems from an insecure Bash arithmetic evaluation over attacker-controlled data transmitted during the WebSocket handshake. Successful exploitation may result in complete system compromise, data exfiltration, backdoor installation, and lateral movement across the network.
Affected systems
- BeyondTrust Remote Support (RS) — versions prior to patch BT26-02 (February 2026)
- BeyondTrust Privileged Remote Access (PRA) — older versions not enrolled in automatic updates
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
BeyondTrust automatically applied the patch to all SaaS customers on February 2, 2026. Customers with self-hosted instances of Remote Support and Privileged Remote Access not enrolled in automatic updates must manually apply the patch through the appliance interface, as outlined in advisory BT26-02.
Primary and secondary sources
Ivanti Endpoint Manager Mobile (EPMM)
Description
Two critical code injection vulnerabilities affect the In-House Application Distribution and Android File Transfer Configuration features of Ivanti EPMM (CVE-2026-1281 and CVE-2026-1340). Both flaws reside in legacy Bash scripts used by the Apache server for URL rewriting and allow a remote unauthenticated attacker to execute arbitrary commands on the appliance operating system via specially crafted HTTP requests, without requiring credentials or user interaction. Successful exploitation may result in complete appliance compromise, unauthorized access to managed mobile devices, and lateral movement across the corporate network.
Affected systems
- Ivanti EPMM version 12.5.x — apply RPM 12.5.x.x (temporary patch)
- Ivanti EPMM version 12.6.x — apply RPM 12.6.x.x (temporary patch)
- Ivanti EPMM version 12.7.x — apply RPM 12.7.x.x (temporary patch)
Note: RPM patches are version-specific and do not persist after version upgrades; they must be reapplied if the appliance is updated.
Workarounds
The vendor has not disclosed workarounds for these vulnerabilities.
Solution
Ivanti has provided temporary RPM patches for affected versions, which must be applied immediately per the security advisory. The definitive fix is planned for version 12.8.0.0, expected in Q1 2026. Compromised instances should not be manually cleaned; Ivanti recommends restoring the appliance from a clean backup or rebuilding it and migrating data to a new environment.
Primary and secondary sources
Fortinet FortiOS, FortiManager, FortiAnalyzer, FortiProxy and FortiWeb
Description
A flaw in the FortiCloud Single Sign-On (SSO) authentication mechanism allows an attacker with a FortiCloud account and a registered device to access other devices associated with different accounts, bypassing authentication controls. Exploitation of this vulnerability has resulted in unauthorized administrative access to FortiGate devices, creation of local administrator accounts for persistence purposes, and exfiltration of firewall and VPN configurations. The vulnerability is only exploitable on devices with FortiCloud SSO enabled and is not reproducible through third-party SAML implementations or FortiAuthenticator.
Affected systems
- FortiOS 7.0.0–7.0.18 / 7.2.0–7.2.12 / 7.4.0–7.4.10 / 7.6.0–7.6.5
- FortiManager 7.0.0–7.0.15 / 7.2.0–7.2.11 / 7.4.0–7.4.9 / 7.6.0–7.6.5
- FortiAnalyzer 7.0.0–7.0.15 / 7.2.0–7.2.11 / 7.4.0–7.4.9 / 7.6.0–7.6.5
- FortiProxy 7.0.0–7.0.22 / 7.2.0–7.2.15 / 7.4.0–7.4.12 / 7.6.0–7.6.4
- FortiWeb 7.4.0–7.4.11 / 7.6.0–7.6.6 / 8.0.0–8.0.3
Note: FortiAnalyzer 6.4, FortiManager 6.4, and FortiOS 6.4 are not affected.
Workarounds
Fortinet disables FortiCloud SSO on vulnerable-version devices server-side. To re-enable the feature, upgrading to a patched version is required. Additionally, the vendor recommends restricting administrative access to management interfaces through firewall rules and local-in policies, limiting the IP addresses permitted to connect.
Solution
Immediately update affected products to the fixed versions provided by Fortinet per advisory FG-IR-26-060. Organizations that identify signs of compromise should restore device configuration from a known clean version and rotate all credentials, including integrated LDAP/AD accounts.
Primary and secondary sources
n8n
Description
A flaw in n8n's expression evaluation mechanism allows an authenticated user with permission to create or modify workflows to inject specially crafted JavaScript expressions into workflow parameters, escaping the sandbox and executing arbitrary commands on the server's operating system. The vulnerability stems from a discrepancy between TypeScript compile-time type checking and JavaScript runtime behavior, allowing non-string values to bypass sanitization checks. When combined with public webhooks without authentication, the flaw can be exploited by any remote attacker without additional credentials.
Affected systems
- n8n — all versions prior to 1.123.17 (1.x series)
- n8n — 2.x series versions from 2.0.0 up to prior to 2.5.2
Workarounds
The vendor recommends, as a temporary measure, restricting workflow creation and editing permissions exclusively to fully trusted users, and running n8n instances in isolated environments with minimal operating system privileges and restricted network access. The vendor notes that these measures do not eliminate the vulnerability.
Solution
Immediately update n8n to version 1.123.17 or 2.5.2 (or later versions), per the advisory published under GHSA-6cqr-8cfr-67f8. Compromised instances should have credentials and API tokens rotated.
Primary and secondary sources
Google Chrome
Description
A use-after-free flaw in the CSS component of Google Chrome allows a remote attacker to execute arbitrary code within the browser sandbox via a specially crafted HTML page. The vulnerability stems from improper access to freed memory regions during CSS rule processing, enabling heap layout manipulation for malicious code execution. Exploitation requires no authentication and can be triggered simply by visiting a malicious web page.
Affected systems
- Google Chrome for Windows and macOS — versions prior to 145.0.7632.75/76
- Google Chrome for Linux — versions prior to 144.0.7559.75
- Chromium-based browsers (Opera, Vivaldi, Brave, Microsoft Edge) — versions prior to the upstream corresponding to Chrome 145
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Update Google Chrome to version 145.0.7632.75/76 (Windows/macOS) or 144.0.7559.75 (Linux), released on February 13, 2026. After updating, the browser must be restarted for the patched version to load. Administrators of corporate environments should verify patch propagation via Google Admin Console or endpoint management tools.
Primary and secondary sources
Microsoft Windows — MSHTML Framework
Description
A protection mechanism failure in the Windows MSHTML (Trident) component allows a remote unauthenticated attacker to bypass security controls by opening a specially crafted HTML file or shortcut (.lnk). The vulnerability resides in the hyperlink navigation logic within the ieframe.dll module, where insufficient validation of the target URL enables the invocation of ShellExecuteExW with attacker-controlled inputs, allowing execution of local or remote resources outside the browser's expected security context. Exploitation may result in complete compromise of the system's confidentiality, integrity, and availability.
Affected systems
- Windows 10 versions 1607, 1809, 21H2, and 22H2
- Windows 11 versions 22H3, 23H2, 24H2, 25H2, and 26H1
- Windows Server 2012, 2012 R2, 2016, 2019, 2022, and 2025 (including Server Core installations)
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Apply the February 2026 cumulative security updates (Patch Tuesday, February 10, 2026) provided by Microsoft for all affected Windows versions via Windows Update, WSUS, Intune, or Configuration Manager.
Primary and secondary sources
Microsoft Windows — Windows Shell
Description
A protection mechanism failure in the Windows Shell component allows a remote unauthenticated attacker to bypass security controls — including Windows SmartScreen and Mark of the Web-based security zone warnings — through the delivery of a malicious shortcut (.lnk) file or link. Exploitation requires the user to interact with content sent by the attacker, but once that interaction occurs, protections that would normally prevent execution of untrusted-origin content are suppressed, potentially resulting in arbitrary code execution with high impact on the system's confidentiality, integrity, and availability.
Affected systems
- Windows 10 versions 1607, 1809, 21H2, and 22H2
- Windows 11 versions 22H3, 23H2, 24H2, 25H2, and 26H1
- Windows Server 2012 R2, 2016, 2019, 2022, and 2025 (including Server Core installations)
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Apply the February 2026 cumulative security updates (Patch Tuesday, February 10, 2026) provided by Microsoft via Windows Update, WSUS, Intune, or Configuration Manager for all affected Windows versions.
Primary and secondary sources
Cisco Unified Communications Manager and related products
Description
The flaw stems from inadequate validation of user-supplied data in HTTP requests directed at the web management interface of affected devices. A remote unauthenticated attacker can send a sequence of specially crafted HTTP requests to exploit the vulnerability, gaining initial access with user-level privileges on the underlying operating system and subsequently escalating to root. Complete system compromise may result in unauthorized access, data exfiltration, and service disruption. Although Cisco classifies this vulnerability as Critical, the calculated CVSS score is 8.2.
Affected systems
- Cisco Unified CM and Unified CM SME — version 12.5 (migrate); version 14 (prior to 14SU5); version 15 (prior to 15SU4)
- Cisco Unified CM IM&P — versions 12.5, 14, and 15 under the same conditions
- Cisco Unity Connection — version 12.5 (migrate); version 14 (prior to 14SU5); version 15 (prior to 15SU4)
- Cisco Webex Calling Dedicated Instance — versions 14 and 15 under the same conditions
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Cisco has released software updates that address the vulnerability. It is recommended to update to the fixed versions indicated in the advisory or apply the version-specific patch files provided by Cisco, as outlined in cisco-sa-voice-rce-mORhqY4b.
Primary and secondary sources
Microsoft Office
Description
A flaw in the way Microsoft Office validates untrusted inputs during security decisions allows a local unauthenticated attacker to bypass OLE (Object Linking and Embedding) mitigations built into the product. Exploitation requires the user to open a specially crafted Office file sent by the attacker. Upon doing so, vulnerable COM/OLE controls are loaded without proper security restrictions, potentially resulting in arbitrary code execution, credential theft, and persistence establishment. The preview pane is not an attack vector.
Affected systems
- Microsoft Office 2016 (MSI) — apply KB5002713
- Microsoft Office 2019 — update to version 1808 (Build 10417.20095) or later
- Microsoft Office LTSC 2021 — protected via server-side fix after restarting Office applications
- Microsoft Office LTSC 2024 — protected via server-side fix after restarting Office applications
- Microsoft 365 Apps for Enterprise — protected via server-side fix after restarting Office applications
Workarounds
Microsoft has provided a registry-based kill bit mitigation to block the loading of the vulnerable Shell.Explorer.1 COM control, identified by CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}, applicable until the security update is installed.
Solution
Apply the emergency security updates released by Microsoft on January 26, 2026. Users of Office 2021 and later versions must restart Office applications to activate server-side protection. Users of Office 2016 and 2019 should install the update via Windows Update, WSUS, or the Microsoft Download Center.
Primary and secondary sources
Microsoft Office Word
Description
A flaw in the validation of untrusted inputs in security decisions within Microsoft Word allows a local unauthenticated attacker to bypass OLE mitigations integrated into Microsoft 365 and Microsoft Office. Exploitation requires the victim to open a malicious Office file sent by the attacker; the preview pane is excluded as an attack vector. Vulnerable COM/OLE controls are loaded without proper protections, potentially resulting in code execution with high impact on the confidentiality, integrity, and availability of the affected system.
Affected systems
- Microsoft Office Word and Microsoft 365 — versions covered by the February 2026 cumulative security updates (Patch Tuesday, February 10, 2026)
- All supported Windows systems with vulnerable versions of Microsoft Word installed
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Apply the February 2026 security updates provided by Microsoft via Windows Update, WSUS, Intune, or Configuration Manager for all affected versions of Microsoft Office Word.
Primary and secondary sources
Microsoft Windows — Desktop Window Manager (DWM)
Description
A type confusion condition in the Windows Desktop Window Manager (DWM) component allows a local attacker with minimal privileges to elevate their privileges on the system without requiring user interaction. DWM is responsible for compositing and rendering the desktop graphical interface. Successful exploitation may result in full system access with elevated privileges, compromising the confidentiality, integrity, and availability of the affected environment. The vulnerability was actively exploited as a zero-day prior to patch availability.
Affected systems
- Windows 10 versions 1607, 1809, 21H2, and 22H2
- Windows 11 versions 22H3, 23H2, 24H2, 25H2, and 26H1
- Windows Server 2016, 2019, 2022, and 2025 (including Server Core installations)
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Apply the February 2026 cumulative security updates provided by Microsoft for all affected Windows versions via Windows Update, WSUS, Intune, or Configuration Manager.
Primary and secondary sources
Microsoft Windows — Remote Desktop Services
Description
An improper privilege management flaw in the Windows Remote Desktop Services component allows a local attacker with low privileges to elevate their privileges to SYSTEM level without requiring user interaction. Exploitation occurs through a malicious binary that modifies a service configuration key in the Windows registry, replacing it with an attacker-controlled key, which enables the addition of new accounts to the administrators group and complete system compromise. Despite the component name, the attack vector is strictly local and is typically chained with other initial access methods.
Affected systems
- Windows 10 versions 1607, 1809, and 21H2
- Windows 11 versions 25H2 and 26H1
- Windows Server 2012, 2019, 2022, and 2025 (including Server Core installations)
- All Windows systems with the Remote Desktop Services component enabled
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Apply the February 2026 cumulative security updates (Patch Tuesday, February 10, 2026) provided by Microsoft via Windows Update, WSUS, Intune, or Configuration Manager. It is recommended to disable Remote Desktop Services on systems where the feature is not needed and restrict RDP access to trusted networks.
Primary and secondary sources
Contexto
Esta es la Notificación de Vulnerabilidades (NDV) correspondiente al mes de febrero de 2026. En este documento, producido por el equipo de Inteligencia de Amenazas Cibernéticas de SEK, se listan las principales vulnerabilidades catalogadas en el último mes.
En nuestro análisis, priorizamos las vulnerabilidades críticas y altas presentes en productos y tecnologías más relevantes y utilizados en la industria. Cabe señalar que este es un documento dirigido a la comunidad de ciberseguridad en su conjunto. Para un trabajo más específico, recomendamos la contratación de nuestro servicio de gestión de vulnerabilidades, cuyo enfoque está en la detección y mitigación de vulnerabilidades encontradas en todo el parque de nuestros clientes de forma personalizada.
Para cada vulnerabilidad listada en este documento, especificamos las versiones y sistemas afectados e indicamos una remediación de contorno y una solución, para que nuestros clientes puedan actuar de forma inmediata si utilizan el producto o tecnología vulnerable. Recordamos que la remediación de contorno – si la hay – es una medida de carácter contingencial, que no soluciona el problema por completo. Reforzamos, siempre, la necesidad de actualización del servicio o producto afectado lo más rápido posible.
SEK se pone a disposición para ayudar a sus clientes a corregir las vulnerabilidades listadas en este documento. Reforzamos, además, la importancia del mantenimiento de un servicio periódico de gestión de vulnerabilidades e implementación de parches, teniendo en cuenta el escenario creciente de aumento de superficie de ataque y de actores de amenaza en todo el mundo.
Resumen
Haga clic en las tarjetas para navegar a la vulnerabilidad específica
Dell RecoverPoint for Virtual Machines
Oracle HTTP Server y WebLogic Server Proxy Plug-in
BeyondTrust Remote Support y Privileged Remote Access
Ivanti Endpoint Manager Mobile (EPMM)
Fortinet FortiOS, FortiManager, FortiAnalyzer, FortiProxy y FortiWeb
n8n
Google Chrome
Microsoft Windows — MSHTML Framework
Microsoft Windows — Windows Shell
Cisco Unified Communications Manager y productos relacionados
Microsoft Office
Microsoft Office Word
Microsoft Windows — Desktop Window Manager (DWM)
Microsoft Windows — Remote Desktop Services
THINK AHEAD, ACT NOW.
Dell RecoverPoint for Virtual Machines
Descripción
La falla consiste en la presencia de credenciales fijas (hardcoded) en archivos de configuración asociados al Apache Tomcat Manager en los appliances Dell RecoverPoint. Un atacante remoto no autenticado que posea conocimiento de estas credenciales puede obtener acceso no autorizado al sistema operativo subyacente y establecer persistencia con privilegios de root. La vulnerabilidad fue explotada activamente como zero-day desde mediados de 2024, permitiendo la implantación de los malwares GRIMBOLT y BRICKSTORM para espionaje de largo plazo y compromiso de entornos VMware.
Sistemas afectados
- Dell RecoverPoint for Virtual Machines — versiones anteriores a 6.0.3.1 HF1
- Dell RecoverPoint for Virtual Machines versión 5.3 SP4 P1 — requiere migración a la versión 6.0 SP3 y posterior actualización a 6.0.3.1 HF1
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Dell recomienda que los clientes actualicen inmediatamente a la versión 6.0.3.1 HF1 o apliquen una de las remediaciones disponibles según el advisory DSA-2026-079. Los clientes en la versión 5.3 SP4 P1 deben migrar primero a la 6.0 SP3.
Fuentes primarias y secundarias
Oracle HTTP Server y Oracle WebLogic Server Proxy Plug-in
Descripción
Una falla de control de acceso inadecuado en los componentes WebLogic Server Proxy Plug-in para Apache HTTP Server y Microsoft IIS permite que un atacante remoto no autenticado con acceso a la red vía HTTP comprometa el Oracle HTTP Server y el Oracle WebLogic Server Proxy Plug-in sin necesidad de credenciales ni interacción del usuario. La explotación exitosa puede resultar en creación, modificación o eliminación no autorizada de datos críticos, así como acceso completo a los datos accesibles por los componentes afectados. Debido al cambio de alcance de la vulnerabilidad, los ataques pueden impactar otros productos además del componente inicialmente comprometido.
Sistemas afectados
- Oracle HTTP Server y WebLogic Server Proxy Plug-in para Apache HTTP Server — versiones 12.2.1.4.0, 14.1.1.0.0 y 14.1.2.0.0
- WebLogic Server Proxy Plug-in para IIS — versión 12.2.1.4.0 (única versión afectada en este componente)
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Aplicar los parches disponibilizados por Oracle en el Critical Patch Update de enero de 2026, conforme a las orientaciones del advisory oficial de Oracle.
Fuentes primarias y secundarias
BeyondTrust Remote Support y Privileged Remote Access
Descripción
Una falla de inyección de comandos en el componente thin-scc-wrapper, accesible vía WebSocket, permite que un atacante remoto no autenticado ejecute comandos arbitrarios del sistema operativo sin necesidad de credenciales ni interacción del usuario. La vulnerabilidad proviene de una evaluación aritmética insegura de Bash sobre datos controlados por el atacante transmitidos durante el handshake WebSocket. La explotación exitosa puede resultar en compromiso total del sistema, exfiltración de datos, instalación de backdoors y movimiento lateral en la red.
Sistemas afectados
- BeyondTrust Remote Support (RS) — versiones anteriores al parche BT26-02 (febrero de 2026)
- BeyondTrust Privileged Remote Access (PRA) — versiones antiguas no inscritas en actualización automática
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
BeyondTrust aplicó el parche automáticamente en todos los clientes SaaS el 2 de febrero de 2026. Los clientes con instancias self-hosted de Remote Support y Privileged Remote Access que no estén inscritos en actualizaciones automáticas deben aplicar el parche manualmente a través de la interfaz del appliance, conforme al advisory BT26-02.
Fuentes primarias y secundarias
Ivanti Endpoint Manager Mobile (EPMM)
Descripción
Dos vulnerabilidades críticas de inyección de código afectan las funciones In-House Application Distribution y Android File Transfer Configuration de Ivanti EPMM (CVE-2026-1281 y CVE-2026-1340). Ambas fallas residen en scripts Bash legados utilizados por el servidor Apache para reescritura de URLs y permiten que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema operativo del appliance mediante solicitudes HTTP especialmente construidas, sin necesidad de credenciales ni interacción del usuario. La explotación exitosa puede resultar en compromiso total del appliance, acceso no autorizado a dispositivos móviles administrados y movimiento lateral en la red corporativa.
Sistemas afectados
- Ivanti EPMM versión 12.5.x — aplicar RPM 12.5.x.x (parche temporal)
- Ivanti EPMM versión 12.6.x — aplicar RPM 12.6.x.x (parche temporal)
- Ivanti EPMM versión 12.7.x — aplicar RPM 12.7.x.x (parche temporal)
Nota: Los parches RPM son específicos por versión y no persisten tras actualizaciones de versión; deben reaplicarse si el appliance es actualizado.
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para estas vulnerabilidades.
Solución
Ivanti ha proporcionado parches RPM temporales para las versiones afectadas, que deben aplicarse inmediatamente conforme al advisory de seguridad. La corrección definitiva está prevista para la versión 12.8.0.0, con lanzamiento en el primer trimestre de 2026. Las instancias comprometidas no deben limpiarse manualmente; Ivanti recomienda restaurar el appliance desde un backup íntegro o reconstruirlo y migrar los datos a un nuevo entorno.
Fuentes primarias y secundarias
Fortinet FortiOS, FortiManager, FortiAnalyzer, FortiProxy y FortiWeb
Descripción
Una falla en el mecanismo de autenticación vía FortiCloud Single Sign-On (SSO) permite que un atacante con una cuenta FortiCloud y un dispositivo registrado acceda a otros dispositivos asociados a cuentas distintas, eludiendo los controles de autenticación. La explotación de esta vulnerabilidad resultó en acceso administrativo no autorizado a dispositivos FortiGate, creación de cuentas locales de administrador con fines de persistencia y exfiltración de configuraciones de firewall y VPN. La vulnerabilidad solo es explotable en dispositivos con FortiCloud SSO habilitado y no es reproducible mediante implementaciones SAML de terceros ni FortiAuthenticator.
Sistemas afectados
- FortiOS 7.0.0–7.0.18 / 7.2.0–7.2.12 / 7.4.0–7.4.10 / 7.6.0–7.6.5
- FortiManager 7.0.0–7.0.15 / 7.2.0–7.2.11 / 7.4.0–7.4.9 / 7.6.0–7.6.5
- FortiAnalyzer 7.0.0–7.0.15 / 7.2.0–7.2.11 / 7.4.0–7.4.9 / 7.6.0–7.6.5
- FortiProxy 7.0.0–7.0.22 / 7.2.0–7.2.15 / 7.4.0–7.4.12 / 7.6.0–7.6.4
- FortiWeb 7.4.0–7.4.11 / 7.6.0–7.6.6 / 8.0.0–8.0.3
Nota: FortiAnalyzer 6.4, FortiManager 6.4 y FortiOS 6.4 no están afectados.
Remediaciones de contorno
Fortinet deshabilita el FortiCloud SSO en dispositivos con versiones vulnerables del lado del servidor. Para volver a habilitar la función es necesario actualizar a una versión corregida. Adicionalmente, el fabricante recomienda restringir el acceso administrativo a interfaces de gestión mediante reglas de firewall y local-in policies, limitando las direcciones IP con permiso de acceso.
Solución
Actualizar inmediatamente los productos afectados a las versiones corregidas disponibilizadas por Fortinet, conforme al advisory FG-IR-26-060. Las organizaciones que identifiquen indicios de compromiso deben restaurar la configuración del dispositivo desde una versión limpia conocida y rotar todas las credenciales, incluidas las cuentas LDAP/AD integradas.
Fuentes primarias y secundarias
n8n
Descripción
Una falla en el mecanismo de evaluación de expresiones de n8n permite que un usuario autenticado con permiso para crear o modificar workflows inyecte expresiones JavaScript especialmente construidas en los parámetros del workflow, escapando del sandbox y ejecutando comandos arbitrarios en el sistema operativo del servidor. La vulnerabilidad proviene de una discrepancia entre la verificación de tipos en tiempo de compilación de TypeScript y el comportamiento en tiempo de ejecución de JavaScript, permitiendo que valores no-string eludan las verificaciones de sanitización. Cuando se combina con webhooks públicos sin autenticación, la falla puede ser explotada por cualquier atacante remoto sin necesidad de credenciales adicionales.
Sistemas afectados
- n8n — todas las versiones anteriores a 1.123.17 (serie 1.x)
- n8n — versiones de la serie 2.x de 2.0.0 hasta anteriores a 2.5.2
Remediaciones de contorno
El fabricante recomienda, como medida temporal, restringir los permisos de creación y edición de workflows exclusivamente a usuarios plenamente confiables, y ejecutar instancias de n8n en entornos aislados con privilegios mínimos de sistema operativo y acceso restringido a la red. El fabricante señala que estas medidas no eliminan la vulnerabilidad.
Solución
Actualizar inmediatamente n8n a la versión 1.123.17 o 2.5.2 (o versiones posteriores), conforme al advisory publicado bajo GHSA-6cqr-8cfr-67f8. Las instancias comprometidas deben tener credenciales y tokens de API rotados.
Fuentes primarias y secundarias
Google Chrome
Descripción
Una falla de use-after-free en el componente CSS de Google Chrome permite que un atacante remoto ejecute código arbitrario dentro del sandbox del navegador mediante una página HTML especialmente construida. La vulnerabilidad proviene del acceso indebido a regiones de memoria liberadas durante el procesamiento de reglas CSS, posibilitando la manipulación del heap para la ejecución de código malicioso. La explotación no requiere autenticación y puede desencadenarse simplemente visitando una página web maliciosa.
Sistemas afectados
- Google Chrome para Windows y macOS — versiones anteriores a 145.0.7632.75/76
- Google Chrome para Linux — versiones anteriores a 144.0.7559.75
- Navegadores basados en el motor Chromium (Opera, Vivaldi, Brave, Microsoft Edge) — versiones anteriores al upstream correspondiente al Chrome 145
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Actualizar Google Chrome a la versión 145.0.7632.75/76 (Windows/macOS) o 144.0.7559.75 (Linux), disponibilizada el 13 de febrero de 2026. Tras la actualización, es necesario reiniciar el navegador para que la versión corregida sea cargada. Los administradores de entornos corporativos deben verificar la propagación del parche mediante Google Admin Console o herramientas de gestión de endpoints.
Fuentes primarias y secundarias
Microsoft Windows — MSHTML Framework
Descripción
Una falla en el mecanismo de protección del componente MSHTML (Trident) de Windows permite que un atacante remoto no autenticado eluda controles de seguridad mediante la apertura de un archivo HTML o acceso directo (.lnk) especialmente construido. La vulnerabilidad reside en la lógica de navegación por hipervínculos dentro del módulo ieframe.dll, donde la validación insuficiente de la URL de destino posibilita la invocación de ShellExecuteExW con entradas controladas por el atacante, permitiendo la ejecución de recursos locales o remotos fuera del contexto de seguridad esperado del navegador. La explotación puede resultar en compromiso total de la confidencialidad, integridad y disponibilidad del sistema.
Sistemas afectados
- Windows 10 versiones 1607, 1809, 21H2 y 22H2
- Windows 11 versiones 22H3, 23H2, 24H2, 25H2 y 26H1
- Windows Server 2012, 2012 R2, 2016, 2019, 2022 y 2025 (incluidas instalaciones Server Core)
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Aplicar las actualizaciones acumulativas de seguridad de febrero de 2026 (Patch Tuesday, 10 de febrero de 2026) disponibilizadas por Microsoft para todas las versiones afectadas de Windows mediante Windows Update, WSUS, Intune o Configuration Manager.
Fuentes primarias y secundarias
Microsoft Windows — Windows Shell
Descripción
Una falla en el mecanismo de protección del componente Windows Shell permite que un atacante remoto no autenticado eluda controles de seguridad — incluidos Windows SmartScreen y las advertencias de zona de seguridad basadas en Mark of the Web — mediante la entrega de un archivo de acceso directo (.lnk) o enlace malicioso. La explotación requiere que el usuario interactúe con el contenido enviado por el atacante, pero una vez realizada esa interacción, las protecciones que normalmente impedirían la ejecución de contenido de origen no confiable son suprimidas, pudiendo resultar en ejecución de código arbitrario con alto impacto sobre la confidencialidad, integridad y disponibilidad del sistema.
Sistemas afectados
- Windows 10 versiones 1607, 1809, 21H2 y 22H2
- Windows 11 versiones 22H3, 23H2, 24H2, 25H2 y 26H1
- Windows Server 2012 R2, 2016, 2019, 2022 y 2025 (incluidas instalaciones Server Core)
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Aplicar las actualizaciones acumulativas de seguridad de febrero de 2026 (Patch Tuesday, 10 de febrero de 2026) disponibilizadas por Microsoft mediante Windows Update, WSUS, Intune o Configuration Manager para todas las versiones afectadas de Windows.
Fuentes primarias y secundarias
Cisco Unified Communications Manager y productos relacionados
Descripción
La falla proviene de una validación inadecuada de datos proporcionados por el usuario en solicitudes HTTP dirigidas a la interfaz de gestión web de los dispositivos afectados. Un atacante remoto no autenticado puede enviar una secuencia de solicitudes HTTP especialmente construidas para explotar la vulnerabilidad, obteniendo acceso inicial con privilegios de usuario en el sistema operativo subyacente y, posteriormente, escalando los privilegios a root. El compromiso total del sistema puede resultar en acceso no autorizado, exfiltración de datos e interrupción de servicios. Aunque Cisco clasifica esta vulnerabilidad como Crítica, el score CVSS calculado es 8.2.
Sistemas afectados
- Cisco Unified CM y Unified CM SME — versión 12.5 (migrar); versión 14 (anterior a 14SU5); versión 15 (anterior a 15SU4)
- Cisco Unified CM IM&P — versiones 12.5, 14 y 15 en las mismas condiciones
- Cisco Unity Connection — versión 12.5 (migrar); versión 14 (anterior a 14SU5); versión 15 (anterior a 15SU4)
- Cisco Webex Calling Dedicated Instance — versiones 14 y 15 en las mismas condiciones
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Cisco ha disponibilizado actualizaciones de software que corrigen la vulnerabilidad. Se recomienda actualizar a las versiones corregidas indicadas en el advisory o aplicar los archivos de parche específicos por versión proporcionados por Cisco, conforme a la orientación en cisco-sa-voice-rce-mORhqY4b.
Fuentes primarias y secundarias
Microsoft Office
Descripción
Una falla en la forma en que Microsoft Office valida entradas no confiables durante decisiones de seguridad permite que un atacante local no autenticado eluda las mitigaciones OLE (Object Linking and Embedding) integradas en el producto. La explotación requiere que el usuario abra un archivo Office especialmente construido enviado por el atacante. Al hacerlo, controles COM/OLE vulnerables son cargados sin las debidas restricciones de seguridad, pudiendo resultar en ejecución de código arbitrario, robo de credenciales y establecimiento de persistencia. El panel de vista previa no constituye vector de ataque.
Sistemas afectados
- Microsoft Office 2016 (MSI) — aplicar KB5002713
- Microsoft Office 2019 — actualizar a la versión 1808 (Build 10417.20095) o superior
- Microsoft Office LTSC 2021 — protegido mediante corrección server-side tras reiniciar las aplicaciones de Office
- Microsoft Office LTSC 2024 — protegido mediante corrección server-side tras reiniciar las aplicaciones de Office
- Microsoft 365 Apps for Enterprise — protegido mediante corrección server-side tras reiniciar las aplicaciones de Office
Remediaciones de contorno
Microsoft ha proporcionado una mitigación de registro (registry-based kill bit) para bloquear la carga del control COM vulnerable Shell.Explorer.1, identificado por el CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}, aplicable hasta que se instale la actualización de seguridad.
Solución
Aplicar las actualizaciones de seguridad de emergencia disponibilizadas por Microsoft el 26 de enero de 2026. Los usuarios de Office 2021 y versiones posteriores deben reiniciar las aplicaciones de Office para activar la protección server-side. Los usuarios de Office 2016 y 2019 deben instalar la actualización mediante Windows Update, WSUS o el Centro de Descarga de Microsoft.
Fuentes primarias y secundarias
Microsoft Office Word
Descripción
Una falla en la validación de entradas no confiables en decisiones de seguridad de Microsoft Word permite que un atacante local no autenticado eluda las mitigaciones OLE integradas en Microsoft 365 y Microsoft Office. La explotación requiere que la víctima abra un archivo Office malicioso enviado por el atacante; el panel de vista previa queda excluido como vector de ataque. Controles COM/OLE vulnerables son cargados sin las debidas protecciones, pudiendo resultar en ejecución de código con alto impacto sobre la confidencialidad, integridad y disponibilidad del sistema afectado.
Sistemas afectados
- Microsoft Office Word y Microsoft 365 — versiones cubiertas por las actualizaciones acumulativas de seguridad de febrero de 2026 (Patch Tuesday, 10 de febrero de 2026)
- Todos los sistemas Windows compatibles con versiones vulnerables de Microsoft Word instaladas
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Aplicar las actualizaciones de seguridad de febrero de 2026 disponibilizadas por Microsoft mediante Windows Update, WSUS, Intune o Configuration Manager para todas las versiones afectadas de Microsoft Office Word.
Fuentes primarias y secundarias
Microsoft Windows — Desktop Window Manager (DWM)
Descripción
Una condición de type confusion en el componente Desktop Window Manager (DWM) de Windows permite que un atacante local con privilegios mínimos eleve sus privilegios en el sistema sin necesidad de interacción del usuario. El DWM es responsable de la composición y renderización de la interfaz gráfica del escritorio. La explotación exitosa puede resultar en acceso total al sistema con privilegios elevados, comprometiendo la confidencialidad, integridad y disponibilidad del entorno afectado. La vulnerabilidad fue explotada activamente como zero-day antes de la disponibilización del parche.
Sistemas afectados
- Windows 10 versiones 1607, 1809, 21H2 y 22H2
- Windows 11 versiones 22H3, 23H2, 24H2, 25H2 y 26H1
- Windows Server 2016, 2019, 2022 y 2025 (incluidas instalaciones Server Core)
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Aplicar las actualizaciones acumulativas de seguridad de febrero de 2026 disponibilizadas por Microsoft para todas las versiones afectadas de Windows mediante Windows Update, WSUS, Intune o Configuration Manager.
Fuentes primarias y secundarias
Microsoft Windows — Remote Desktop Services
Descripción
Una falla de gestión inadecuada de privilegios en el componente Windows Remote Desktop Services permite que un atacante local con privilegios bajos eleve sus privilegios al nivel SYSTEM sin necesidad de interacción del usuario. La explotación ocurre mediante un binario malicioso que modifica una clave de configuración de servicio en el registro de Windows, sustituyéndola por una clave controlada por el atacante, lo que posibilita la adición de nuevas cuentas al grupo de administradores y el compromiso total del sistema. A pesar del nombre del componente, el vector de ataque es estrictamente local y generalmente encadenado con otros métodos de acceso inicial.
Sistemas afectados
- Windows 10 versiones 1607, 1809 y 21H2
- Windows 11 versiones 25H2 y 26H1
- Windows Server 2012, 2019, 2022 y 2025 (incluidas instalaciones Server Core)
- Todos los sistemas Windows con el componente Remote Desktop Services habilitado
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Aplicar las actualizaciones acumulativas de seguridad de febrero de 2026 (Patch Tuesday, 10 de febrero de 2026) disponibilizadas por Microsoft mediante Windows Update, WSUS, Intune o Configuration Manager. Se recomienda deshabilitar Remote Desktop Services en sistemas donde la función no sea necesaria y restringir el acceso RDP a redes de confianza.
Fuentes primarias y secundarias
Central de Conteúdos SEK
SEK Content Hub
Central de Contenidos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de Conteúdos