Vulnerabilidades críticas en BeyondTrust Remote Support y Privileged Remote Access con CVSS 9.2

BeyondTrust ha divulgado múltiples vulnerabilidades críticas y de alta severidad en sus soluciones Remote Support (RS) y Privileged Remote Access (PRA), que podrían permitir a atacantes eludir controles de acceso y obtener acceso no autorizado a sistemas sensibles. Las fallas, clasificadas bajo el ID BT26-03, alcanzan una puntuación máxima de CVSS v4 9.2, indicando un riesgo grave para entornos afectados. Los defectos, descubiertos internamente por el equipo de seguridad del producto, incluyen dos vulnerabilidades pre-autenticación (CVE-2026-40138 y CVE-2026-40139) que permiten el acceso sin credenciales válidas bajo configuraciones específicas.

CVE y severidad

Identificador Severidad CVSS Base (v4) Tipo Impacto
CVE-2026-40138 Crítica 9.2 Elusión de controles de autenticación Acceso no autorizado a la appliance y cuentas con privilegios elevados
CVE-2026-40139 Crítica 9.2 Procesamiento inadecuado de solicitudes de autenticación Acceso no autorizado en Remote Support
CVE-2026-40140 Alta N/A Denegación de servicio (DoS) pre-autenticación Disponibilidad del servicio afectada
CVE-2026-40141 Alta N/A Validación de entrada insuficiente Acceso a recursos no autorizados por usuarios con privilegios limitados

Productos afectados

Las vulnerabilidades afectan a las versiones 25.3.2 y anteriores de BeyondTrust Remote Support y Privileged Remote Access. Los clientes con despliegues en la nube fueron parcheados automáticamente a partir del 21 de abril de 2026.

Solución

Actualizar a la versión 25.3.3 o posterior o aplicar el parche de seguridad de abril de 2026 para ambas soluciones (Remote Support y Privileged Remote Access).

Recomendaciones

Las organizaciones deben priorizar la aplicación de los parches en entornos donde estas herramientas estén expuestas a redes externas. Se recomienda realizar pruebas exhaustivas post-parche y, en caso de despliegues críticos, evaluar la posibilidad de implementar segmentación de red para limitar la exposición. Los equipos de seguridad deben monitorear actividades sospechosas en sistemas que aún no hayan sido actualizados.

Referencias