Las autoridades de EE.UU. han confirmado la explotación activa de una vulnerabilidad crítica de inyección de comandos OS en FileZen de Soliton Systems K.K., permitiendo la ejecución remota de comandos con riesgo de compromiso total del sistema y robo de datos. Debido al alto riesgo, CISA la ha incluido en su Catálogo KEV para alertar sobre ataques reales que aprovechan esta falla. Se recomienda a las organizaciones que usan este software evaluar y actualizar sus sistemas de inmediato para evitar accesos no autorizados.
CVE y severidad
| CVE ID | Puntaje CVSS | Severidad | Tipo de vulnerabilidad | Componente afectado | Versiones afectadas | Impacto |
|---|---|---|---|---|---|---|
| CVE-2026-2510 | 9.8 (Crítica) | Crítica | Inyección de comandos OS | FileZen Core Server | Todas las versiones sin parchear | Compromiso total del sistema, acceso no autorizado, posible exfiltración de datos |
Productos afectados
El servidor principal de FileZen, en todas sus versiones sin parchear, está afectado por esta vulnerabilidad de inyección de comandos OS que permite ejecución remota de órdenes maliciosas.
Solución
Aplicar inmediatamente las actualizaciones y parches proporcionados por Soliton Systems para las versiones afectadas de FileZen.
Recomendaciones
Priorizar la aplicación urgente del parche disponible y revisar la configuración y actividad del sistema luego de la actualización para asegurar la mitigación efectiva. Adoptar el seguimiento continuo del Catálogo KEV para fortalecer la gestión de vulnerabilidades.