Onda de CVEs afecta a SAP, Fortinet, Ivanti y VMware en medio de la carrera por S/4HANA

La semana comenzó con una secuencia sincronizada de divulgaciones de vulnerabilidades críticas en proveedores empresariales. SAP, Fortinet, Ivanti, VMware y n8n liberaron correcciones para fallos de alta severidad entre el lunes y el martes, en un volumen y distribución que exigen acción coordinada de los equipos de infraestructura y seguridad en los próximos días. Ninguna de las CVEs fue reportada en explotación activa hasta el cierre de esta edición, pero la ventana entre divulgación y explotación se ha reducido a horas en casos análogos recientes.

La alerta más significativa proviene de SAP, y la sincronización con el calendario de migración de la empresa es lo que hace que el caso sea especial. La corrección de la CVE-2026-34260, vulnerabilidad de inyección SQL en S/4HANA con CVSS 9.6, llega precisamente en el momento en que más de la mitad de los clientes globales de SAP ha concluido o está concluyendo la migración de la plataforma legada a la versión actual, según el seguimiento de SAPinsider. La presión regulatoria de la propia SAP, que mantiene un plazo original de fin de soporte del ECC en 2027 con extensiones pagadas hasta 2033 a través de RISE with SAP, ha creado una ventana de migración masiva, y esta ventana coincide con la divulgación. La falla permite exponer datos sensibles de la base de datos a partir de entradas controladas por el atacante, en modo solo lectura, pero suficiente para filtrar la configuración de tablas críticas en entornos donde la migración aún no ha estabilizado las políticas de segregación de acceso. La segunda corrección crítica de SAP, CVE-2026-34263, afecta a la configuración de SAP Commerce Cloud con puntuación 9.6 y abre camino para la ejecución arbitraria de código en el servidor a través de una configuración de seguridad permisiva con ordenación inadecuada de reglas. Para los clientes en mitad de la migración, la recomendación es tratarlo como prioridad en la ventana de cambios dentro de la semana.

Fortinet e Ivanti en control de acceso

Fortinet divulgó dos CVEs con puntuación 9.1. La CVE-2026-44277 afecta a FortiAuthenticator y permite que un atacante no autenticado ejecute código no autorizado mediante solicitudes construidas. Las versiones corregidas son 6.5.7, 6.6.9 y 8.0.3. Por otro lado, la CVE-2026-26083 afecta a FortiSandbox en todas las variantes, incluyendo Cloud y PaaS, con la misma raíz: ausencia de verificación de autorización en la UI Web que permite la ejecución de código sin autenticación. Las versiones corregidas son 4.4.9 y 5.0.2 para FortiSandbox local, 5.0.6 para Cloud y 4.4.9 o 5.0.2 para PaaS.

Ivanti liberó un parche para la CVE-2026-8043 en Xtraction antes de la versión 2026.2, con CVSS 9.6. El error permite que un atacante autenticado remoto lea archivos sensibles y escriba HTML arbitrario en el directorio web, abriendo el camino para la divulgación de información y ataques en el lado del cliente. VMware corrigió la CVE-2026-41702 en Fusion (CVSS 7.8), una vulnerabilidad TOCTOU en un binario SETUID que eleva privilegios a root localmente. La corrección está en la versión 26H1, y el impacto está restringido a hosts donde se ejecuta Fusion, lo que reduce la exposición en flotas corporativas estandarizadas en hipervisores de servidor.

n8n acumula fallas en contaminación de prototipos

El caso más denso en volumen es el de n8n, plataforma de automatización ampliamente adoptada en equipos de ingeniería de datos y operaciones. Se publicaron cinco CVEs de CVSS 9.4 en el mismo ciclo. Las CVE-2026-42231 y CVE-2026-42232 involucran contaminación de prototipos a través de XML, con ejecución remota de código viable para usuarios autenticados que tienen permiso de flujo de trabajo. Las versiones corregidas son 1.123.32, 2.17.4 y 2.18.1. La CVE-2026-44791 documenta un bypass para la corrección de la CVE-2026-42232, requiriendo una actualización adicional a 1.123.43, 2.20.7 o 2.22.1, lo que indica un parche incompleto en la primera ronda.

La CVE-2026-44789 afecta al nodo HTTP Request a través de un parámetro de paginación no validado. La CVE-2026-44790 es potencialmente la más grave de la serie: la inyección de una bandera CLI en la operación de Push del nodo Git permite la lectura arbitraria de archivos en el servidor n8n, suficiente para un compromiso completo. Los equipos que ejecutan n8n en producción deben aplicar la secuencia completa de versiones 1.123.43, 2.20.7 y 2.22.1 sin intervalo entre rondas, dado que solo la corrección final cierra el conjunto.

El patrón de la semana ejerce presión particular en entornos híbridos. Las actualizaciones de SAP, FortiAuthenticator y Xtraction típicamente caen en ventanas distintas de gestión de cambios, y el cruce de prioridades exigirá que los CISOs reorganizen el backlog de remediación para tratar las tres como una categoría única. El riesgo específico de 2026 es que las migraciones en curso de S/4HANA a menudo operan en modo de pila dual durante semanas, con el legado y el nuevo coexistiendo. Los entornos en esta fase están particularmente expuestos: el equipo responsable está enfocado en la compatibilidad de procesos de negocio, no en parches retroactivos en el sistema que acaba de entrar en producción.