Empresa
¿Quiénes somos? Visión y Valores
Herramientas
Email Checker Vigía DNS SSL Checker Password Strength HTTP Headers
Alertas
Todas las alertas Vulnerabilidades Incidentes Solo críticas En CISA KEV
Editorial
Análisis técnico ¿Cuál es mi IP?
Blog
Blog 2MCI ISO 27001 Amenazas LATAM Recursos Gratuitos eBook Gratuito Newsletter Podcast / YouTube
Empresa
Servicios Contacto Suscribirse al Newsletter
🆕 Nuevo en 2MCI
✨ Crear cuenta gratis 🛠️ Ver herramientas sin registro
Ya tengo cuenta
🔒 Iniciar sesión
Equipo
🏠 Portal interno 2MCI
Inicio/ Alertas/ Vulnerabilidad
Alto CVE-2026-33634 Aquasecurity

Vulnerabilidad crítica en Aquasecurity Trivy con explotación activa confirmada

Vulnerabilidad · Publicado 26/03/2026 · Actualizado 02/06/2026

Resumen ejecutivo

CISA ha confirmado la explotación activa de CVE-2026-33634 en Aquasecurity Trivy, herramienta de escaneo de vulnerabilidades ampliamente utilizada en pipelines CI/CD de empresas en LATAM. Aunque no se ha documentado su uso en campañas de ransomware conocidas, el riesgo es elevado dada la naturaleza crítica de Trivy en la cadena de suministro de software. La directiva CISA establece el 9 de abril de 2026 como fecha límite para remediación.

Análisis asistido por IA, contexto LATAM revisado por el equipo 2MCI.

Descripción técnica

Descripción técnica

Aquasecurity Trivy contains an embedded malicious code vulnerability that could allow an attacker to gain access to everything in the CI/CD environment, including all tokens, SSH keys, cloud credentials, database passwords, and any sensitive configuration in memory.

Productos afectados

Trivy — Aquasecurity

Estado de explotación

⚠️ Explotación activa confirmada — incluida en el catálogo CISA KEV desde el 2026-03-26.

Nombre técnico

Aquasecurity Trivy Embedded Malicious Code Vulnerability

¿Qué hacer?
  • Actualizar inmediatamente Aquasecurity Trivy a la versión parcheada según instrucciones del vendor
  • Auditar logs de ejecución de Trivy en los últimos 30 días para detectar accesos sospechosos
  • Adoptar el plazo del 9 de abril de 2026 como línea base de remediación, incluso si tu organización no está bajo directiva federal CISA
  • Si no hay parche disponible, discontinuar el uso y evaluar alternativas como Grype o Snyk
  • Aplicar segmentación de red en herramientas de análisis de código

Fuentes originales

CISA KEV ↗
aquasecurity cve-2026-33634 explotación activa vulnerabilidad
Esta alerta fue generada automáticamente a partir del CISA KEV Catalog.
← Volver a todas las alertas