CVE-2026-23781: Credenciales Debug en BMC Control-M/MFT
Plataforma
other
Componente
bmc-control-m-mft
Corregido en
9.0.22-025
Se ha identificado una vulnerabilidad en BMC Control-M/MFT versiones 9.0.20 hasta 9.0.22. Esta vulnerabilidad implica la inclusión de un conjunto de credenciales de usuario de depuración predeterminadas, codificadas en texto plano dentro del paquete de la aplicación. Si estas credenciales no se modifican, pueden ser fácilmente obtenidas, lo que podría permitir el acceso no autorizado a la interfaz de depuración de la API de MFT. La actualización a la versión 9.0.22-025 resuelve esta vulnerabilidad.
Impacto y Escenarios de Ataque
La principal consecuencia de esta vulnerabilidad es la posibilidad de acceso no autorizado a la interfaz de depuración de la API de MFT. Un atacante que obtenga estas credenciales podría utilizar la API de depuración para realizar diversas acciones maliciosas, como la modificación de archivos, la manipulación de procesos de transferencia, o la extracción de información confidencial. El impacto potencial se amplifica si la API de MFT se utiliza para transferir datos sensibles o para integrar con otros sistemas críticos. La exposición de la API de depuración podría permitir a un atacante escalar privilegios y comprometer la integridad de todo el sistema Control-M/MFT.
Contexto de Explotación
La vulnerabilidad CVE-2026-23781 fue publicada el 10 de abril de 2026. No se ha reportado actividad de explotación activa en campañas conocidas. La probabilidad de explotación se considera baja a moderada, dado que requiere acceso al paquete de la aplicación y la capacidad de extraer las credenciales. No se encuentra en KEV ni tiene una puntuación EPSS asignada actualmente.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.07% (20% percentil)
Software Afectado
Cronología
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para esta vulnerabilidad es actualizar BMC Control-M/MFT a la versión 9.0.22-025 o superior. Si la actualización no es inmediatamente posible, se recomienda cambiar las credenciales de depuración predeterminadas de inmediato. Es crucial revisar la configuración de Control-M/MFT para asegurarse de que la interfaz de depuración esté protegida con controles de acceso robustos. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear el acceso no autorizado a la API de depuración también puede ayudar a mitigar el riesgo. Después de la actualización, confirme que las credenciales predeterminadas ya no existen y que la API de depuración está debidamente protegida.
Cómo corregirlotraduciendo…
Actualice BMC Control-M/MFT a la versión 9.0.22-025 o posterior para mitigar este riesgo. Verifique que las credenciales de depuración predeterminadas hayan sido cambiadas o eliminadas después de la instalación inicial. Consulte la documentación de BMC para obtener instrucciones detalladas sobre cómo aplicar el parche y gestionar las credenciales de depuración.
Preguntas frecuentes
What is CVE-2026-23781 — Credenciales Debug en BMC Control-M/MFT?
CVE-2026-23781 es una vulnerabilidad en BMC Control-M/MFT que permite el acceso no autorizado a la API de depuración debido a credenciales predeterminadas codificadas en texto plano. Afecta a las versiones 9.0.20 a 9.0.22.
Am I affected by CVE-2026-23781 in BMC Control-M/MFT?
Si está utilizando BMC Control-M/MFT en las versiones 9.0.20, 9.0.21 o 9.0.22, es posible que esté afectado por esta vulnerabilidad. Verifique su versión y aplique la actualización o mitigación recomendada.
How do I fix CVE-2026-23781 in BMC Control-M/MFT?
La solución es actualizar BMC Control-M/MFT a la versión 9.0.22-025 o superior. Si la actualización no es posible, cambie las credenciales de depuración predeterminadas de inmediato.
Is CVE-2026-23781 being actively exploited?
Hasta el momento, no se ha reportado actividad de explotación activa en campañas conocidas, pero la vulnerabilidad representa un riesgo potencial.
Where can I find the official BMC advisory for CVE-2026-23781?
Consulte el sitio web de BMC para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles: [https://www.bmc.com/support/](https://www.bmc.com/support/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...