El INCIBE (Instituto Nacional de Ciberseguridad) alerta de siete vulnerabilidades en VMware Avi Load Balancer, una crítica, que permiten eludir autenticación y ejecutar código remoto.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE ha emitido un aviso de seguridad sobre siete vulnerabilidades en VMware Avi Load Balancer de Broadcom, una de ellas de severidad crítica, que podría permitir a un atacante eludir la autenticación y ejecutar código arbitrario.
- ¿Dónde y cuándo? Afecta a las versiones 22.1.x, 30.2.x, 31.1.x y 32.1.1. El aviso se publicó el miércoles 15 de julio de 2026.
- ¿Qué resultado? Broadcom ha publicado parches correctivos; el INCIBE insta a actualizar de inmediato a las versiones 32.1.2, 31.2.2-2p3 o 30.2.7.
Las siete vulnerabilidades: omisión de autenticación y ejecución de código
Broadcom ha identificado un total de siete vulnerabilidades, una de ellas de severidad critica y las seis restantes de severidad alta, que afectan al plano de control del balanceador VMware Avi Load Balancer. La explotación exitosa de estos fallos podría comprometer la confidencialidad, integridad y disponibilidad de los sistemas afectados, según detalla el INCIBE en su aviso INCIBE-2026-492.
Los identificadores CVE y su impacto son los siguientes: CVE-2026-47865 y CVE-2026-47866 permiten omitir la autenticación sin credenciales —la primera da acceso completo al plano de control y la segunda, a un subconjunto de funciones—. CVE-2026-47867 y CVE-2026-47869 posibilitan la ejecución remota de código; esta última requiere credenciales válidas. CVE-2026-47868 y CVE-2026-47870 son fallos de escalada de privilegios (el primero desde acceso local hasta root, el segundo desde un usuario autenticado en red). Por último, CVE-2026-47871 habilita un ataque de recorrido de directorios (directory traversal) para acceder a recursos fuera del directorio previsto.
Las versiones afectadas abarcan desde la rama 22.1.1 hasta la 32.1.1, incluyendo las subversiones 31.1.1 a 31.2.2 y 30.2.1 a 30.2.6. Estas ediciones están presentes en numerosas implementaciones corporativas, ya que el balanceador de carga gestiona el tráfico y la seguridad de aplicaciones críticas.
Aunque los avisos de Broadcom y del INCIBE no registran explotación activa conocida (Explotación: No), la gravedad de los fallos y la amplia superficie de ataque convierten la actualización en una medida urgente para cualquier organización que utilice el producto.
Una vulnerabilidad crítica en un balanceador de carga expone todo el tráfico de una red corporativa, por lo que la rápida emisión de parches por parte de Broadcom y la alerta del INCIBE son medidas esenciales para la ciberseguridad empresarial en España.
Actualización urgente: los parches ya disponibles
El fabricante ha liberado las versiones corregidas 32.1.2, 31.2.2-2p3 (para la rama 31.x) y 30.2.7 (para la rama 30.x). El INCIBE recalca que los sistemas que aún ejecuten la rama 22.1.x deben migrar como mínimo a la versión 30.2.7 o superior, ya que esa línea ya no recibe parches específicos. La actualización directa desde los repositorios oficiales de Broadcom es el único método recomendado para cerrar los vectores de ataque.
La aplicación de los parches debe priorizarse en entornos donde el balanceador esté expuesto a redes no confiables o gestione servicios críticos. Dado que las vulnerabilidades de omisión de autenticación (CVE-2026-47865) permiten acceso completo al plano de control sin credenciales, cualquier demora podría facilitar la toma de control remota del dispositivo.
El panorama de la ciberseguridad
Este nuevo aviso se enmarca en un contexto de crecimiento sostenido de las amenazas contra infraestructuras de red. Según los datos del propio INCIBE, en 2025 se gestionaron más de 118.000 incidentes de ciberseguridad en España, un 24% más que el año anterior, y se emitieron más de 500 avisos de seguridad. Los balanceadores de carga, al situarse en el perímetro de las organizaciones, se han convertido en un objetivo prioritario para los actores maliciosos, que buscan comprometer el tráfico de aplicaciones enteras a través de un único punto de entrada.
La capacidad de respuesta del INCIBE, que mantiene un sistema de alerta temprana activo las 24 horas, permite a las empresas españolas recibir avisos detallados y contrastados antes de que los fallos se conviertan en incidentes de gran escala. La coordinación con fabricantes como Broadcom y la difusión inmediata de los parches refuerzan el papel del instituto como pilar de la ciberresiliencia nacional. La vigilancia continua y la agilidad en la publicación de contramedidas son, hoy, la primera línea de defensa frente al cibercrimen.

