WatchGuard ha parcheado tres vulnerabilidades de alta gravedad del sistema operativo Fireware que afectan los dispositivos de firewall Firebox y podrían exponer a las organizaciones a un compromiso grave si los atacantes ya tienen acceso de administrador privilegiado.
Las fallas se revelaron el 2 de julio de 2026 y afectan a los dispositivos Firebox que ejecutan múltiples ramas del sistema operativo Fireware. Dos de los errores permiten la ejecución de código arbitrario, mientras que el tercero permite escrituras de archivos arbitrarias en el sistema de archivos del firewall.
El riesgo más grave proviene del plano de gestión. De acuerdo aGuardiaGuardia, una de las fallas puede desencadenarse mediante un comando CLI especialmente diseñado por un usuario privilegiado autenticado.
Tres errores de WatchGuard Firebox parcheados
Las vulnerabilidades se rastrean como CVE-2026-13053, CVE-2026-13050 y CVE-2026-13054. Los tres tienen una puntuación CVSS v4.0 de 8,6 y una clasificación de gravedad Alta.
CVE-2026-13053 es una vulnerabilidad de escritura fuera de límites en la CLI del sistema operativo Fireware. Puede permitir que un usuario autenticado con privilegios ejecute código arbitrario a través de un comando CLI especialmente diseñado.
CVE-2026-13050 es otro problema de escritura fuera de límites, esta vez en el proceso de red. ElAviso de WatchGuarddice que puede permitir la ejecución de código arbitrario a través de solicitudes especialmente diseñadas a la interfaz de usuario web de administración.
| CVE | Tipo de problema | Ruta de ataque | Impacto |
|---|---|---|---|
| CVE-2026-13053 | Escritura fuera de límites | CLI de administración | Ejecución de código arbitrario |
| CVE-2026-13050 | Escritura fuera de límites | Interfaz de usuario web de administración | Ejecución de código arbitrario |
| CVE-2026-13054 | Recorrido del camino | Interfaz de usuario web de administración | Escritura de archivos arbitrarios |
El error de recorrido de ruta amplía la superficie de ataque
La tercera falla, CVE-2026-13054, afecta la interfaz de usuario web de administración del sistema operativo Fireware. WatchGuard dice quevulnerabilidad de recorrido de rutapermite a un atacante autenticado con privilegios escribir archivos arbitrarios en el sistema de archivos de Firebox.
Eso hace que el error sea peligroso a pesar de que WatchGuard lo describe de manera diferente a los dos fallos de ejecución de código. Las vulnerabilidades de escritura arbitraria de archivos pueden ayudar a los atacantes a alterar archivos, alterar los datos de configuración o respaldar la persistencia después de acceder al dispositivo.
Los dispositivos de firewall a menudo se encuentran en límites sensibles de la red. Si un atacante obtiene el control de una cuenta de administración, las fallas en la interfaz de administración pueden convertir las credenciales robadas en un acceso más profundo a través de la red.
Versiones del sistema operativo Fireware afectadas
WatchGuard dice que las vulnerabilidades afectan a Fireware OS 11.0 hasta 11.12.4_Update1, 12.0 hasta 12.12, 12.5 hasta 12.5.18 y 2025.1 hasta 2026.2.
La rama 11.x ha llegado al final de su vida útil, por lo que las organizaciones que aún ejecutan esas versiones deben planificar una migración en lugar de esperar una solución. Para los modelos T15 y T35 en la rama 12.5.x, WatchGuard enumera el problema como no resuelto.
Las versiones fijas son Fireware OS 2026.2.1 para la rama 2025.1 y Fireware OS 12.12.1 para la rama 12.x.
- Actualice las implementaciones de Fireware OS 2025.1 a 2026.2.1.
- Actualice las implementaciones de Fireware OS 12.x a 12.12.1 o posterior.
- Reemplazar o migrar implementaciones de Fireware OS 11.x porque la rama está al final de su vida útil.
- Revise los dispositivos T15 y T35 en 12.5.x, donde WatchGuard enumera la solución como no resuelta.
- Restrinja el acceso de administración únicamente a redes de administración confiables.
WatchGuard no enumera ninguna solución alternativa
WatchGuard enumera las tres vulnerabilidades como resueltas, pero no enumera una solución alternativa para ellas. Eso hace que aplicar parches sea el principal paso de reparación para los dispositivos afectados.
Debido a que la explotación requiere una autenticación con altos privilegios, estas fallas no son lo mismo que los errores de ejecución remota de código no autenticados en Internet. Aún así, el riesgo sigue siendo grave porque los atacantes a menudo atacan las cuentas de los administradores del firewall mediante phishing, robo de credenciales, contraseñas reutilizadas o sistemas de gestión comprometidos.
Las organizaciones deben verificar qué versión del sistema operativo Fireware ejecutan, confirmar si su modelo de Firebox sigue siendo compatible y programar un mantenimiento de emergencia donde existan interfaces de administración expuestas o cuentas de administrador de alto riesgo.
Por qué son importantes estos defectos de la cámara de combustión
Los firewalls protegen los bordes de la red, el acceso VPN, las reglas de tráfico y las políticas de seguridad. Un firewall comprometido puede brindar a los atacantes un punto de apoyo valioso dentro de la red de una empresa.
Con la ejecución de código en el dispositivo, un atacante podría intentar alterar las reglas del firewall, inspeccionar datos de configuración confidenciales, modificar la configuración de VPN o crear persistencia. El impacto exacto depende de la configuración del dispositivo, los servicios expuestos y los privilegios de la cuenta.
Los equipos de seguridad también deben revisar los registros de actividad del administrador después de aplicar el parche. Cualquier uso inusual de la CLI, cambios inesperados en la interfaz de usuario web, nuevas cuentas de administrador o archivos de configuración modificados deberían dar lugar a una mayor investigación.
Acciones recomendadas para administradores
Los administradores deben priorizar los sistemas de parcheo que exponen el acceso de administración a redes internas amplias, entornos MSP, rutas de administración remota o hosts de salto utilizados por múltiples operadores.
El acceso a la UI web y CLI de Firebox Management debe limitarse a direcciones IP confiables. Las cuentas de administrador deben usar contraseñas únicas y autenticación multifactor cuando sea compatible.
Después de la actualización, los equipos deben exportar y revisar las copias de seguridad de la configuración, verificar las listas de cuentas de administrador y monitorear los registros en busca de signos de actividad sospechosa en el plano de administración.
Preguntas frecuentes
¿Cuáles son las vulnerabilidades de WatchGuard Firebox?
WatchGuard parchó tres vulnerabilidades del sistema operativo Fireware rastreadas como CVE-2026-13053, CVE-2026-13050 y CVE-2026-13054. Dos permiten la ejecución de código arbitrario por parte de usuarios autenticados privilegiados, mientras que uno permite escrituras de archivos arbitrarias a través del recorrido de ruta.
¿Son críticas las vulnerabilidades de WatchGuard Firebox?
WatchGuard califica las tres fallas como de gravedad alta con una puntuación CVSS v4.0 de 8,6. Requieren acceso autenticado privilegiado, lo que los mantiene por debajo de la gravedad crítica, pero aun así pueden comprometer gravemente el firewall.
¿Qué versiones del sistema operativo Fireware se ven afectadas?
Las vulnerabilidades afectan a Fireware OS 11.0 a 11.12.4_Update1, 12.0 a 12.12, 12.5 a 12.5.18 y 2025.1 a 2026.2, según WatchGuard.
¿Qué versiones corrigen las vulnerabilidades de WatchGuard Firebox?
WatchGuard enumera Fireware OS 2026.2.1 como la solución para la rama 2025.1 y Fireware OS 12.12.1 como la solución para la rama 12.x. Fireware OS 11.x ha llegado al final de su vida útil y 12.5.x en los modelos T15 y T35 sigue listado como sin resolver.
¿Existe alguna solución para estas vulnerabilidades de WatchGuard?
WatchGuard no incluye una solución alternativa para estas tres vulnerabilidades. Las organizaciones deben instalar las versiones fijas del sistema operativo Fireware y restringir el acceso a las interfaces de administración hasta que se completen las actualizaciones.
