El INCIBE ha alertado este miércoles 15 de julio de 2026 de dos vulnerabilidades en los dispositivos SMA1000 de SonicWall, una de ellas crítica, que podrían permitir a un atacante no autenticado realizar solicitudes no autorizadas o ejecutar comandos como administrador.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE ha publicado un aviso de seguridad sobre dos fallos en los SMA1000 de SonicWall.
- ¿Qué riesgos conllevan? La vulnerabilidad crítica (CVE-2026-15409) permite SSRF; la alta (CVE-2026-15410), ejecución remota de comandos.
- ¿Qué versiones están afectadas? Hasta seis revisiones de las ramas 12.4.3 y 12.5.0.
- ¿Cuál es la solución? Actualizar a las versiones 12.4.3-03453 o 12.5.0-02835 o posteriores.
Las dos vulnerabilidades criticas, descubiertas por Adam Babis del equipo de SonicWall PSIRT, afectan a los modelos 6210, 7210 y 8200v. Con esta alerta, identificada como INCIBE-2026-491, el centro público vuelve a poner el foco en la seguridad de los dispositivos perimetrales que utilizan muchas organizaciones para el acceso remoto seguro.
CVE-2026-15409, calificada como crítica, es una vulnerabilidad de tipo SSRF (Server-Side Request Forgery) en la interfaz Workplace del dispositivo. Un atacante remoto que no cuente con credenciales podría llegar a provocar que el SMA1000 realice solicitudes HTTP a ubicaciones no autorizadas, facilitando la exfiltración de información o el pivotaje hacia sistemas internos.
La segunda falla, CVE-2026-15410, tiene un nivel de severidad alto. Se trata de un control inadecuado en la generación de código, una suerte de inyección de comandos en la consola de administración (AMC). Si un atacante logra autenticarse previamente como administrador, podría ejecutar comandos arbitrarios en el sistema operativo del dispositivo, comprometiendo su integridad total.
Las versiones afectadas comprenden varias revisiones del firmware: 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 y 12.5.0-02800. Todas ellas corresponden a la gama de appliances SMA1000 utilizados habitualmente como pasarelas de acceso seguro.
Con casi 500 avisos de seguridad publicados en lo que va de 2026, el INCIBE evidencia la intensa presión que ejercen los ciberdelincuentes sobre los dispositivos de red.
Actualización oficial de SonicWall
El fabricante ya ha liberado las actualizaciones que corrigen ambos fallos. Para la rama 12.4.3, la versión 12.4.3-03453 y posteriores incluyen el parche; para la rama 12.5.0, la revisión 12.5.0-02835 y posteriores resuelven las vulnerabilidades. INCIBE recomienda aplicar las actualizaciones de forma inmediata, especialmente en aquellos entornos en los que los interfaces de administración estén expuestos a internet.
SonicWall ha confirmado que no se ha detectado explotación activa de estas vulnerabilidades hasta la fecha de publicación del aviso, aunque el equipo de PSIRT subraya la necesidad de no demorar el parcheo.
El panorama de la ciberseguridad
Los dispositivos perimetrales, como los SMA1000, constituyen un vector de ataque especialmente atractivo para los ciberdelincuentes. Las vulnerabilidades de tipo SSRF y las inyecciones de código permiten desde el robo de credenciales hasta el control total del equipo. En el caso de los accesos remotos, un fallo explotado con éxito puede servir de puerta de entrada a la red corporativa.
Con esta alerta, identificada como INCIBE-2026-491, el instituto alcanza casi el medio millar de avisos tempranos en lo que va de año, una cifra que refleja la elevada actividad del ecosistema de amenazas. El INCIBE, a través de su equipo INCIBE-CERT, mantiene una vigilancia continua y emite este tipo de avisos para que empresas y organismos puedan blindar sus infraestructuras frente a ataques conocidos. La colaboración con fabricantes como SonicWall y la rápida publicación de parches resultan esenciales para reducir la ventana de exposición.
El aviso completo, con los detalles técnicos y las referencias a los CVE, está disponible en el portal de INCIBE.

