Basado en información de The Hacker News →
Introducción
Cuando una agencia como CISA emite una alerta con fecha de remediación obligatoria, el mensaje es claro: el riesgo no es teórico, ya hay atacantes operando. Esta semana, el foco está en una vulnerabilidad crítica de inyección de código en los dispositivos de serie Lantronix EDS5000, con un puntaje CVSS de 9.8.
El problema
El medio especializado The Hacker News reportó que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó a su catálogo de vulnerabilidades explotadas activamente la falla CVE-2025-67038, que afecta a los dispositivos de la serie Lantronix EDS5000. Se trata de una vulnerabilidad de inyección de código con una calificación crítica de 9.8 en la escala CVSS. CISA ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicar los parches correspondientes antes del 26 de junio de 2026.
Consecuencias
El nivel de criticidad (9.8) indica que un atacante que logre explotar esta falla podría ejecutar código arbitrario de forma remota sin necesidad de autenticación. En entornos industriales y de infraestructura crítica —donde los Lantronix EDS5000 se usan para la gestión remota de dispositivos en redes OT— esto se traduce en riesgo de interrupción de operaciones, pérdida de control sobre equipos sensibles y posible punto de entrada para movimientos laterales hacia redes corporativas.
Causas
La causa raíz, según la información pública disponible, es un error de inyección de código en el firmware de los dispositivos Lantronix EDS5000. Si bien el comunicado no detalla el vector exacto, la naturaleza de "inyección de código" (code injection) sugiere que la vulnerabilidad reside en cómo el dispositivo procesa entradas no validadas, permitiendo a un atacante insertar y ejecutar comandos arbitrarios. La falta de una sanitización adecuada de los parámetros de entrada es el patrón clásico detrás de esta clase de fallos.