¿Detectas amenazas con Wireshark? Enhorabuena: ahora la amenaza es el propio Wireshark — más de 40 vulnerabilidades en un único parche
Cómo la herramienta clave para analizar el tráfico se convirtió en el objetivo principa
Wireshark recibió una importante actualización de seguridad: los desarrolladores corrigieron más de 40 vulnerabilidades, algunas de las cuales permiten ejecutar código arbitrario mediante paquetes de red especialmente formados o archivos de captura maliciosos. Para la herramienta que se utiliza para el análisis de tráfico y la investigación de incidentes, el riesgo parece especialmente serio.
La actualización salió en la versión 4.6.5. Los desarrolladores recomiendan instalarla lo antes posible a todos los que ejecutan Wireshark en una red corporativa, SOC o en un laboratorio de análisis.
Los errores más peligrosos están relacionados con la posibilidad de ejecución de código. Se trata de cuatro componentes que analizan protocolos de red y datos:
- módulo TLS (CVE-2026-5402) se bloquea al analizar tráfico dañado y puede permitir la ejecución de código
- el manejador del códec de audio SBC (CVE-2026-5403) produce el mismo efecto al procesar datos
- módulo RDP (CVE-2026-5405) es vulnerable al analizar paquetes de escritorio remoto
- la importación de perfiles (CVE-2026-5656) puede conducir a la ejecución de código al cargar configuraciones
En todos los casos el problema comienza con un fallo, pero en un escenario exitoso el atacante obtiene el control del sistema. La situación se complica por una práctica habitual: en entornos corporativos Wireshark suele ejecutarse con privilegios elevados, por lo que una explotación exitosa ofrece al atacante un amplio acceso a la máquina.
Gran parte de las demás correcciones están relacionadas con denegaciones de servicio. Varios módulos de análisis de protocolos se bloquean al procesar paquetes especialmente preparados. La lista incluye decenas de protocolos y formatos: desde Monero, BT-DHT e ICMPv6 hasta HTTP, WebSocket y MySQL. Basta con estar en la misma red que la víctima y enviar ese paquete: no se requiere autenticación.
Una clase aparte de problemas provoca el bloqueo de la aplicación. Algunos errores conducen a bucles infinitos que paralizan por completo el análisis y sobrecargan el sistema. Entre los componentes afectados están el análisis de SMB2, TLS, OpenFlow, USB HID y otros protocolos. En sistemas automáticos de captura de tráfico, un error así puede detener todo el proceso de análisis: Wireshark se queda colgado y no procesa nuevos datos.
Los desarrolladores también corrigieron vulnerabilidades más profundas en el mecanismo de descompresión. Errores en el manejo de datos comprimidos con zlib y el algoritmo LZ77 provocaban fallos al analizar paquetes. Estos defectos son más peligrosos que los problemas locales en protocolos concretos: cualquier protocolo que use compresión queda bajo amenaza, por lo que la superficie de ataque se amplía notablemente.
En total, las correcciones abarcaron varias categorías: ejecución de código en los módulos TLS, RDP y SBC; bloqueos en el análisis de protocolos de red; caídas masivas al procesar paquetes; y errores en el motor de descompresión. El rango de CVE cubre decenas de entradas — desde CVE-2026-5299 hasta CVE-2026-6870.
El equipo de Wireshark señala que parte de las vulnerabilidades se encontraron con herramientas basadas en IA, que aceleraron la revisión de un gran número de módulos de protocolo. Este enfoque permitió identificar problemas inmediatamente en distintas partes del código.
Para las organizaciones donde Wireshark funciona en modo de captura de tráfico o está integrado en sistemas de monitorización y SIEM, la actualización es una tarea prioritaria. Las vulnerabilidades en TLS, RDP y SBC ofrecen al atacante la posibilidad de ejecutar código, y los errores que provocan bloqueos y fallos permiten detener el análisis de la red con un solo paquete.