Canon Marketing Japan ha reveladouna vulnerabilidad crítica en GUARDIANWALL MailSuite que puede permitir a atacantes remotos ejecutar código arbitrario en los sistemas afectados.
La falla, rastreada como CVE-2026-32661 y JVN#35567473, afecta a las versiones locales de GUARDIANWALL MailSuite 1.4.00 a 2.4.26. JPCERT/CC dice que ya se han observado ataques que aprovechan la vulnerabilidad en implementaciones locales.
El problema afecta al servicio web del producto cuando el sistema ejecuta el comando pop3wallpasswd con privilegios de usuario grdnwww. Los administradores deben aplicar el parche de Canon inmediatamente o restringir la interfaz de administración hasta que puedan completar la solución.
La vulnerabilidad proviene de un desbordamiento del búfer basado en pila en el comando pop3wallpasswd dentroMailSuite GUARDIANWALL. Un desbordamiento del búfer ocurre cuando el software escribe más datos en la memoria de los que el espacio asignado puede contener de manera segura.
Un atacante puede enviar una solicitud especialmente diseñada al servicio web del producto afectado. Si el sistema utiliza la configuración vulnerable, la solicitud puede provocar daños en la memoria y permitir la ejecución de código arbitrario.
JVN califica la falla como crítica con una puntuación CVSS v3.0 de 9,8. El aviso también enumera una puntuación CVSS v4.0 de 9,3, que aún sitúa el problema en el rango crítico.
| Artículo | Detalles |
|---|---|
| ID de vulnerabilidad | CVE-2026-32661, JVN#35567473 |
| Producto | MailSuite GUARDIANWALL |
| Proveedor | Canon Marketing Japón Inc. |
| Tipo de vulnerabilidad | Desbordamiento de búfer basado en pila |
| Comando afectado | pop3wallpasswd |
| Impacto | Ejecución remota de código arbitrario |
| Gravedad | Crítico |
Versiones Canon GUARDIANWALL afectadas
Las versiones locales afectadas incluyen GUARDIANWALL MailSuite Ver. 1.4.00 hasta la versión. 2.4.26. Canon dice que las versiones anteriores a la 1.4.00 no enfrentan este problema específico.
Las versiones heredadas de GUARDIANWALL 7.x y 8.x tampoco se incluyen en este aviso. Sin embargo, los administradores aún deben verificar el estado de su soporte y revisar otras pautas de seguridad específicas del producto.
GUARDIANWALL Mail Security Cloud, la versión SaaS, también estuvo expuesta antes del mantenimiento de Canon del 30 de abril de 2026. Canon dice que el servicio en la nube recibió reparación durante ese período de mantenimiento.
| Producto o versión | Estado |
|---|---|
| GUARDIANWALL MailSuite Ver. 1.4.00 a la versión. 2.4.26 | Afectado |
| GUARDIANWALL MailSuite anterior a la versión. 1.4.00 | No afectado por este defecto |
| Legado GUARDIANWALL Ver. 7.x y 8.x | No afectado por este defecto |
| GUARDIANWALL Mail Security Cloud antes del 30 de abril de 2026 mantenimiento | Previamente afectado |
| GUARDIANWALL Mail Security Cloud después del mantenimiento del 30 de abril de 2026 | Fijado |
Por qué CVE-2026-32661 es peligroso
Las puertas de enlace de seguridad del correo electrónico se encuentran cerca de las comunicaciones corporativas confidenciales. Una falla en la ejecución remota de código en esta capa puede crear un riesgo grave para las organizaciones que exponen servicios administrativos o ejecutan configuraciones vulnerables.
JPCERT/CC dice que los atacantes pueden explotarla vulnerabilidad sin autenticación enviando una solicitud diseñada al servicio web del producto. Eso hace que la aplicación de parches sea urgente para cualquier implementación expuesta.
El riesgo aumenta porque ya se ha observado explotación en los sistemas locales de GUARDIANWALL MailSuite. Los equipos de seguridad deben tratar los entornos afectados como activos de alta prioridad e investigar posibles compromisos.
Cómo los atacantes pueden explotar la falla
La condición vulnerable existe cuando el producto puede ejecutar pop3wallpasswd con privilegios de usuario grdnwww. En esa configuración, una solicitud maliciosa al servicio web puede provocar un desbordamiento del búfer.
Una explotación exitosa puede permitir a los atacantes ejecutar código en el contexto del servicio afectado. Desde allí, los atacantes pueden intentar realizar más movimientos, acceso a datos o persistencia dependiendo de la exposición del servidor y los controles internos.
Canon dice que los atacantes no pueden explotar la falla de forma remota si la interfaz de administración del producto afectado no está orientada a redes externas. La compañía también dice que las restricciones de acceso basadas en IP pueden reducir el riesgo cuando no se pueden implementar parches inmediatos.
- Revise si GUARDIANWALL MailSuite ejecuta una versión afectada.
- Compruebe si la interfaz de gestión está orientada a redes externas.
- Restrinja el acceso a direcciones IP confiables cuando sea posible.
- Preservar los registros para investigar si el servicio estuvo expuesto.
- Aplique el parche de corrección de Canon lo antes posible.
Pasos de parches y mitigación para administradores
Canon ha proporcionado parches de correccióne instrucciones a los usuarios contratados a través de los canales de soporte. Los administradores deben seguir las instrucciones del proveedor y completar la implementación del parche antes de restaurar el acceso de administración normal.
Si los equipos no pueden aplicar el parche inmediatamente, Canon recomienda detener la pantalla de administración de GUARDIANWALL MailSuite en el servidor de trabajo de WGW. Esta solución alternativa puede reducir la exposición, pero también puede interrumpir las operaciones administrativas.
Canon enumera el siguiente comando para detener el proceso de administración en el servidor de trabajo WGW:
/etc/init.d/grdn-wgw-work stop
Después de que los administradores apliquen el parche oficial y completen las comprobaciones, pueden reiniciar el proceso de administración con este comando:
/etc/init.d/grdn-wgw-work start
Respuesta recomendada para los equipos de seguridad.
Las organizaciones que utilizan versiones afectadas de GUARDIANWALL MailSuite no deben tratar esto como una actualización de rutina. El aviso público confirma la explotación activa, por lo que los administradores deberían combinar la aplicación de parches con la investigación.
Los equipos primero deben identificar todos los servidores afectados, confirmar la exposición y recopilar registros relevantes antes de realizar cambios que podrían borrar evidencia útil. Luego deben parchear, restringir el acceso de administración y revisar los registros de autenticación y de red para detectar actividades sospechosas.
Los equipos de seguridad también deben comunicarse con el servicio de soporte de productos de Canon si necesitan ayuda para confirmar si su entorno tiene la configuración vulnerable.
- Identifique todas las implementaciones de GUARDIANWALL MailSuite.
- Verifique los números de versión y confirme si se encuentran entre 1.4.00 y 2.4.26.
- Determine si la interfaz de gestión tiene exposición externa.
- Aplique el parche de corrección de Canon desde los canales de soporte oficiales.
- Utilice la solución temporal si la aplicación de parches no se puede realizar de inmediato.
- Restrinja el acceso de administración por dirección IP siempre que sea posible.
- Preservar y revisar los registros de acceso, sistema y servicios web.
- Busque signos de ejecución de código no autorizado o actividad de proceso anormal.
- Comuníquese con el soporte de Canon para confirmar el impacto y el estado del parche.
Preguntas frecuentes
¿Qué es CVE-2026-32661 en Canon GUARDIANWALL MailSuite?
CVE-2026-32661 es una vulnerabilidad crítica de desbordamiento del búfer basada en pila en GUARDIANWALL MailSuite. Puede permitir a atacantes remotos ejecutar código arbitrario a través de una solicitud especialmente diseñada al servicio web del producto.
¿Qué versiones de GUARDIANWALL MailSuite se ven afectadas?
GUARDIANWALL MailSuite Ver. 1.4.00 hasta la versión. 2.4.26 se ven afectados. Versiones anteriores a 1.4.00 y GUARDIANWALL Ver. anterior. 7.x y 8.x no se ven afectados por este defecto específico.
¿Canon ha solucionado la versión de GUARDIANWALL Mail Security Cloud?
Sí. Canon dice que GUARDIANWALL Mail Security Cloud, la versión SaaS, recibió corrección durante el mantenimiento realizado el 30 de abril de 2026.
¿Qué deben hacer los administradores ante la vulnerabilidad de Canon MailSuite?
Los administradores deben aplicar el parche de corrección de Canon, restringir el acceso a la interfaz de administración, preservar los registros, investigar si hay peligro y utilizar la solución temporal de Canon si no pueden aplicar el parche de inmediato.