
BeyondTrust ha divulgado múltiples vulnerabilidades críticas y de alta severidad en sus soluciones Remote Support (RS) y Privileged Remote Access (PRA), que podrían permitir a atacantes eludir controles de acceso y obtener acceso no autorizado a sistemas sensibles. Las fallas, clasificadas bajo el ID BT26-03, alcanzan una puntuación máxima de CVSS v4 9.2, indicando un riesgo grave para entornos afectados. Los defectos, descubiertos internamente por el equipo de seguridad del producto, incluyen dos vulnerabilidades pre-autenticación (CVE-2026-40138 y CVE-2026-40139) que permiten el acceso sin credenciales válidas bajo configuraciones específicas.
CVE y severidad
| Identificador | Severidad | CVSS Base (v4) | Tipo | Impacto |
|---|---|---|---|---|
| CVE-2026-40138 | Crítica | 9.2 | Elusión de controles de autenticación | Acceso no autorizado a la appliance y cuentas con privilegios elevados |
| CVE-2026-40139 | Crítica | 9.2 | Procesamiento inadecuado de solicitudes de autenticación | Acceso no autorizado en Remote Support |
| CVE-2026-40140 | Alta | N/A | Denegación de servicio (DoS) pre-autenticación | Disponibilidad del servicio afectada |
| CVE-2026-40141 | Alta | N/A | Validación de entrada insuficiente | Acceso a recursos no autorizados por usuarios con privilegios limitados |
Productos afectados
Las vulnerabilidades afectan a las versiones 25.3.2 y anteriores de BeyondTrust Remote Support y Privileged Remote Access. Los clientes con despliegues en la nube fueron parcheados automáticamente a partir del 21 de abril de 2026.
Solución
Actualizar a la versión 25.3.3 o posterior o aplicar el parche de seguridad de abril de 2026 para ambas soluciones (Remote Support y Privileged Remote Access).
Recomendaciones
Las organizaciones deben priorizar la aplicación de los parches en entornos donde estas herramientas estén expuestas a redes externas. Se recomienda realizar pruebas exhaustivas post-parche y, en caso de despliegues críticos, evaluar la posibilidad de implementar segmentación de red para limitar la exposición. Los equipos de seguridad deben monitorear actividades sospechosas en sistemas que aún no hayan sido actualizados.
