Un componente aparentemente insignificante se ha convertido en una amenaza para toda una industria.
Opciones alternativas:
- Un componente casi invisible amenaza a todo un sector.
- Un elemento discreto se transforma en peligro para una industria entera.

Una pequeña biblioteca para trabajar con tarjetas de memoria y unidades USB resultó ser un punto común de riesgo para toda una clase de dispositivos, después de que los especialistas de runZero revelaron siete vulnerabilidades en FatFs, que se utiliza en firmware embebido y sistemas operativos de tiempo real.
Los problemas fueron calificados de moderados a graves y afectan a ESP-IDF, STM32Cube, Zephyr RTOS, MicroPython, ArduPilot, RT-Thread, Mbed, TizenRT y SWUpdate.
La biblioteca FatFs analiza particiones FAT, exFAT y GPT, por lo que los errores se activan al conectar un medio especialmente preparado o al procesar una imagen de actualización.
En dispositivos sin aleatorización del espacio de direcciones ni protección de memoria, un acceso breve a una tarjeta SD o al puerto USB puede llevar a la toma de control del sistema. Están en riesgo cámaras, cajeros automáticos, controladores industriales, drones, monederos de criptomonedas y otros dispositivos con medios extraíbles.
CVE-2026-6682 (7.6 según CVSS 3.1, AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) provoca un desbordamiento de enteros al montar un volumen FAT32 y puede provocar corrupción de memoria y ejecución de código.
CVE-2026-6687 (7.6 según CVSS 3.1, AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) permite desbordar la pila con una etiqueta de volumen exFAT excesivamente larga.
CVE-2026-6688 (7.6 según CVSS 3.1, AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) afecta a programas que copian nombres de archivo largos en búferes de tamaño insuficiente.
CVE-2026-6685 (6.1 según CVSS 3.1, AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H) debido a un error en los cálculos al trabajar con volúmenes fragmentados puede corromper datos o provocar accesos fuera de los límites de la memoria.
CVE-2026-6683 (4.6 según CVSS 3.1, AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) provoca una división por cero al escribir exFAT, causa el fallo del dispositivo y puede interrumpir la actualización del firmware.
CVE-2026-6686 (4.6 según CVSS 3.1, AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) permite leer restos de archivos previamente eliminados.
CVE-2026-6684 (4.6 según CVSS 3.1, AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) hace que las versiones anteriores a FatFs R0.16 escaneen durante un tiempo extremadamente largo una partición GPT especialmente preparada.
Los autores también relacionaron CVE-2026-6682 y CVE-2026-6683 con algunos mecanismos de actualización inalámbrica del firmware.
La investigación se inició en 2017, pero el análisis manual y la generación automática de entradas inusuales entonces no revelaron problemas serios. En marzo de 2026 el equipo de runZero volvió al código y, con ayuda de GitHub Copilot, construyó una nueva herramienta que encontró errores pasados por alto y ayudó a comprobar su aplicabilidad en diferentes escenarios.
El desarrollador de FatFs no respondió a las consultas, a pesar de la intervención de JPCERT/CC. runZero aconseja a los fabricantes revisar sus copias de la biblioteca y las envolturas de software, revisar el manejo de nombres y tamaños de archivos y preparar actualizaciones. Las versiones anteriores a FatFs R0.16 deben reemplazarse debido a un error que permite bloquear el sistema mediante un escaneo prolongado de particiones GPT.