← volver
CVE-2026-15410

CVE-2026-15410

CVSS 7.2 HIGHEPSS 1.6%● KEVCWE-94
Vexday Risk Score
71Prioridad alta
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
Madurez del exploit
Prueba de concepto
Existe prueba de concepto pública, pero aún no automatizada.
CVSS 7.2EPSS 1.6%KEV simPoC públicaNuclei Metasploit Patch referenciado
Ciclo de vida
14 jul 2026Explotación activa (CISA KEV)
14 jul 2026Publicada en NVD
15 jul 2026PoC pública
Velocidad de armamento
el mismo díahasta el primer PoC
Armada rápidamente — los atacantes priorizaron esta vulnerabilidad. Corrige con urgencia.
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

Un fallo en la consola de gestión SMA1000 permite que un administrador autenticado ejecute comandos del sistema no autorizados mediante la inyección de código malicioso. Esto es peligroso porque una cuenta de admin comprometida podría dar a un atacante control total del dispositivo.

Detalle técnico

Vulnerabilidad de Inyección de Código (CWE-94) post-autenticación en SMA1000 AMC permite que administradores remotos autenticados inyecten y ejecuten comandos arbitrarios del sistema operativo mediante controles inadecuados de generación de código. El ataque requiere credenciales válidas de admin y condiciones específicas; el impacto incluye comprometimiento total del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
Post-authentication improper control of generation of code ('Code Injection') vulnerability has been identified in the SMA1000 Appliance Management Console (AMC) which in specific conditions could potentially enable a remote authenticated attacker as administrator to execute arbitrary OS commands.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Productos afectados
SonicWall · SMA1000
PoCs públicas encontradas1
githubgithub.com/HORKimhab/CVE-2026-154100
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.