Se ha detectado una vulnerabilidad zero-day en el sistema de gestión de aprendizaje KnowledgeDeliver LMS que permite la ejecución remota de código no autenticada, identificada como CVE-2026-5426. Esta falla afecta implementaciones que usan configuraciones por defecto de ASP.NET anteriores al 24 de febrero de 2026. Atacantes han explotado esta vulnerabilidad para desplegar el web shell en memoria BLUEBEAM, comprometiendo sistemas y modificando archivos legítimos para facilitar infecciones adicionales.
CVE y severidad
| CVE | Severidad | Impacto | Componente afectado | Explotación conocida |
|---|---|---|---|---|
| CVE-2026-5426 | Alta | Ejecución remota de código sin autenticación | Configuración ASP.NET (machineKey/ViewState) | Sí, despliegue activo de web shell BLUEBEAM |
Productos afectados
KnowledgeDeliver LMS desarrollado por Digital Knowledge, utilizado en entornos empresariales y educativos que emplean configuración por defecto de ASP.NET machine keys anteriores a febrero de 2026.
Solución
Rotar inmediatamente las claves machineKey de ASP.NET por valores únicos y criptográficamente seguros en cada implementación.
Recomendaciones
Restrinja el acceso al LMS a rangos IP confiables y realice una caza retrospectiva de indicadores de compromiso. Monitoree registros de aplicaciones para detectar anomalías en la validación de ViewState y supervise procesos hijos sospechosos iniciados por w3wp.exe. Use controles de integridad para identificar modificaciones no autorizadas en archivos .js, .aspx y .config.