El INCIBE alerta de tres vulnerabilidades en Synology MailPlus, dos críticas, que permiten denegación de servicio y acceso a archivos

Las vulnerabilidades son CVE-2026-13136 y CVE-2025-15660. Afectan a versiones de DSM 7.3, 7.2.2 y 7.2.1 y requieren actualizar a la versión 4.0.1-21663.

El INCIBE ha emitido este lunes 29 de junio de 2026 una alerta de seguridad por tres vulnerabilidades en Synology MailPlus Server, dos de ellas calificadas como críticas, que podrían permitir a un atacante provocar una denegación de servicio y acceder a archivos internos del sistema.

EN 30 SEGUNDOS

  • ¿Qué ha ocurrido? El INCIBE ha alertado de tres vulnerabilidades en Synology MailPlus, dos críticas, que permiten denegación de servicio y acceso a archivos.
  • ¿Cuál es la solución? Actualizar a la versión 4.0.1-21663 o superior.
  • ¿Qué versiones están afectadas? Las versiones de DSM 7.3, 7.2.2 y 7.2.1.

Las vulnerabilidades y sus identificadores CVE

La primera de las fallas críticas, identificada como CVE-2026-13136, podría ser explotada por atacantes remotos para leer o escribir archivos arbitrarios en el servidor, además de llevar a cabo ataques de denegación de servicio (DoS). Esta vulnerabilidad afecta al componente principal del servicio de correo de Synology.

La segunda, con el código CVE-2025-15660, también catalogada como crítica, permite a un atacante adyacente —ubicado en la misma red que el dispositivo— leer o escribir archivos no autorizados y generar interrupciones del servicio. La diferencia respecto a la primera radica en el vector de acceso, lo que la hace potencialmente explotable desde entornos internos comprometidos.

Publicidad

Además, se ha reportado una vulnerabilidad de severidad media, CVE-2026-13135, de la que Synology no ha detallado públicamente su impacto ni su vector exacto, aunque se incluye en el mismo aviso de seguridad.

Actualización de seguridad y versiones afectadas

La solución remitida por el fabricante es la instalación inmediata de la versión 4.0.1-21663 de MailPlus Server, o una superior que corrija estos fallos. Las versiones del sistema operativo DSM 7.3, 7.2.2 y 7.2.1 son las directamente afectadas, por lo que los administradores de sistemas que utilicen estas versiones deben aplicar el parche sin demora.

Según el comunicado del INCIBE, hasta la fecha de publicación de la alerta no se ha detectado explotación activa de ninguna de las tres vulnerabilidades. No obstante, la ausencia de evidencia de ataque no reduce la urgencia: las capacidades de lectura y escritura arbitraria de archivos representan un riesgo grave para la confidencialidad y la disponibilidad de los buzones de correo corporativos.

La actualización a la versión 4.0.1-21663 es la única mitigación efectiva y debe aplicarse con carácter prioritario para evitar el acceso no autorizado a archivos sensibles.

El Contexto Operativo

El aviso del INCIBE se enmarca en un escenario de crecimiento sostenido de las amenazas dirigidas contra servidores de correo electrónico, un vector predilecto para la distribución de ransomware y el robo de credenciales. Synology MailPlus es utilizado por miles de empresas y organizaciones en España para gestionar su correo interno, por lo que las vulnerabilidades en esta plataforma pueden tener un alcance significativo en el tejido empresarial nacional.

El INCIBE (Instituto Nacional de Ciberseguridad) ha consolidado su papel como centro de alerta temprana y coordinación de incidentes para ciudadanos y empresas. Según los últimos datos disponibles del organismo, en 2025 se gestionaron más de 120.000 incidentes de ciberseguridad, lo que representa un incremento del 18% respecto al año anterior y evidencia la aceleración del cibercrimen en España.

La celeridad con la que se publican alertas como la de Synology MailPlus permite a los responsables de TI parchear sistemas antes de que se materialice un ataque. La recomendación del INCIBE de actualizar de inmediato se alinea con los protocolos de ciberseguridad proactiva que la institución fomenta para elevar la resiliencia digital del país.

Publicidad