Mostrar Todo Ocultar todo

Buscar

Declaración oficial: X-VPN ha solucionado una vulnerabilidad de escalada de privilegios local.

Escrito Por: Sandra Mitchell

Jun 07, 2026

Official Statement: X-VPN Has Fixed a Local Privilege Escalation Vulnerability

Introducción

Recientemente, Fluid Attacks informó sobre una vulnerabilidad de escalación de privilegios locales (CVE-2026-2638) a través de una divulgación responsable, que afecta a las versiones 77.0 a 77.5 del sitio web de X-VPN para macOS. Tomamos el informe en serio, reproducimos el problema internamente y lanzamos la solución en la versión 77.5.1 del sitio web de X-VPN para macOS. Nuestra revisión interna confirmó que el problema no estaba en el túnel VPN de X-VPN, el protocolo de cifrado, el sistema de cuentas o la infraestructura del servidor, y que ninguna otra plataforma o versión de X-VPN fuera del rango afectado del sitio web de macOS se vio afectada. No se ha observado ninguna explotación en el mundo real. Los usuarios de las versiones afectadas deben actualizar lo antes posible.

En el espíritu de transparencia y responsabilidad, compartiremos los detalles de la vulnerabilidad, su alcance y las acciones que hemos tomado.

Nuestros hallazgos clave

CVE-2026-2638 es una vulnerabilidad de escalada de privilegios local que afecta a la versión del sitio web de X-VPN para macOS (la versión independiente de macOS descargada de xvpn.io) en las versiones 77.0-77.5. Un problema de escalada de privilegios local significa que, bajo condiciones locales específicas, un usuario o proceso con permisos limitados en el mismo dispositivo podría obtener acceso a nivel de administrador. X-VPN ha solucionado este problema en la versión 77.5.1 y posteriores del sitio web de X-VPN para macOS.

La vulnerabilidad se originó en la función de Protección de Descargas de la versión del sitio web de X-VPN para macOS (encontrada en Seguridad → Protección del Navegador → Protección de Descargas), que escanea los archivos descargados, pone en cuarentena aquellos que parecen inseguros y los restaura a petición. Debido a que poner en cuarentena y restaurar archivos implica escribir en ubicaciones protegidas por los permisos del sistema macOS, partes de esta función se ejecutan con permisos de nivel administrador.

CVE-2026-2638 fue un defecto en cómo esta parte a nivel de administrador de la función verificaba la identidad del archivo a través de las etapas de escaneo, cuarentena y restauración, lo que podría permitir a un programa local malicioso redirigir una operación privilegiada a un archivo diferente del que estaba destinado. Se proporciona una explicación detallada en What Is CVE-2026-2638.

Este no fue un ataque a la red remota y no afectó el túnel VPN de X-VPN, el protocolo de cifrado, el sistema de cuentas ni la infraestructura del servidor. La versión de X-VPN en la Mac App Store y X-VPN para Windows, iOS, Android, Linux, Router, TV, Extensión de Chrome, Chromebook y Consolas de Juegos no se vieron afectadas.

Los usuarios que ejecutan las versiones del sitio web de X-VPN para macOS 77.0-77.5 deben actualizar a la versión 77.5.1 o posterior ahora.

Los hechos clave se resumen a continuación:

Artículo	Declaración Oficial
CVE ID	CVE-2026-2638
Estado	Arreglado
Versiones afectadas	X-VPN versión del sitio web para macOS 77.0–77.5
Versión corregida	X-VPN versión del sitio web para macOS 77.5.1 y posteriores
Versión No Afectada	X-VPN versión de Mac App Store/ Windows/ iOS/ Android/ Linux/ Router/ TV/ Extensión de Chrome/ Chromebook/ Consolas de videojuegos
Tipo de vulnerabilidad	Escalación de privilegios local
Severidad	CVSS v4.0 puntuación 7.3, Alta
Estado de Explotación	Según los datos disponibles actualmente, no somos conscientes de ninguna explotación en la naturaleza de este problema; no se han recibido informes de usuarios relacionados.
Acción del usuario	Actualiza la versión del sitio web de X-VPN para macOS a la versión 77.5.1 y posteriores.

¿Qué es CVE-2026-2638?

Para explicar cómo se podría explotar CVE-2026-2638, es útil primero observar cómo funciona normalmente la Protección de Descargas.

La función de Protección de Descargas de la versión del sitio web de X-VPN para macOS sigue un proceso de tres etapas: escanea nuevos archivos descargados, pone en cuarentena archivos que parecen sospechosos y los restaura cuando se solicita una acción de restauración. Para identificar qué archivo está procesando en cada etapa, la función rastrea el archivo por su ubicación en el Mac: su ruta de archivo. La vulnerabilidad se originó en esto: la función confiaba únicamente en la ruta del archivo para seguir apuntando al mismo archivo en las tres etapas, sin volver a verificar de forma independiente el contenido real del archivo.

En el uso normal, esa es una suposición justa, las rutas de archivo generalmente no cambian entre operaciones. Pero bajo dos condiciones específicas, esta suposición podría ser explotada:

Un programa malicioso ya se está ejecutando en el dispositivo con permisos de usuario regular.

El programa malicioso manipula el archivo que Download Protection está a punto de manejar, dentro de la estrecha ventana entre cuando Download Protection identifica el archivo y cuando realmente actúa sobre él, de modo que el archivo utilizado durante el paso privilegiado ya no es el archivo que fue revisado originalmente.

La primera condición plantea una pregunta natural: ¿de dónde vendría un programa malicioso así en primer lugar? Esto vale la pena abordar brevemente, porque la respuesta también muestra por qué CVE-2026-2638 es, y no es, responsable.

De dónde proviene el programa malicioso

Un programa malicioso podría terminar en un dispositivo a través de cualquiera de los medios habituales, por ejemplo, abriendo un correo electrónico de phishing, descargando y ejecutando software de una fuente no confiable, o instalando una aplicación de terceros comprometida. Estos caminos de infección inicial son independientes de CVE-2026-2638 en sí.

En macOS, los programas normalmente se ejecutan con los permisos del usuario que los lanzó. Un programa malicioso instalado a través de estos canales comenzaría, por lo tanto, con solo permisos de usuario regular, no podría, por sí solo, modificar ubicaciones del sistema protegidas o realizar acciones a nivel de administrador. Obtener acceso a nivel de administrador generalmente requiere que el usuario lo autorice explícitamente (como a través de un aviso de contraseña). Por eso las vulnerabilidades de escalada de privilegios locales son importantes: ofrecen a los atacantes una forma de eludir esta barrera.

Las dos brechas que hicieron posible el ataque.

Brecha 1: La Brecha de Tiempo (CWE-367: Condición de Carrera de Tiempo de Verificación y Tiempo de Uso)

La Protección de Descargas verifica un archivo en una etapa y actúa sobre él en una etapa posterior. Hay un breve momento entre estos dos eventos. En ese momento, un programa malicioso, utilizando solo los permisos de edición de archivos que ya tiene cada usuario, podría intercambiar el archivo original por uno diferente. La Protección de Descargas llevaría a cabo su paso privilegiado en el archivo intercambiado, no en el archivo que había verificado.

Brecha 2: La Brecha de Enlace Simbólico (CWE-59: Resolución de Enlace Incorrecta Antes del Acceso al Archivo)

macOS permite a los usuarios crear lo que es esencialmente un acceso directo a otro archivo, un «enlace simbólico». Se ve y se comporta como un archivo normal, pero cuando cualquier programa lo abre, el sistema redirige automáticamente a lo que el acceso directo está apuntando.

La vulnerabilidad era que la Protección de Descargas no verificaba si el archivo que estaba a punto de manejar era en realidad un acceso directo a otro lugar. Un programa malicioso podría plantar tal acceso directo donde la Protección de Descargas estaba a punto de actuar, y hacer que apunte a un archivo importante en otra parte del sistema. La Protección de Descargas, que se ejecuta con permisos de nivel administrador, realizaría entonces sin saber su operación en ese archivo en su lugar, a pesar de que ese archivo nunca debió ser tocado.

Por qué esto resultó en una escalada de privilegios

En ambos casos, el programa malicioso en sí no obtuvo directamente nuevos permisos. Lo que hizo fue redirigir una operación privilegiada legítima, realizada por Download Protection, a un archivo que el programa malicioso de otro modo no tendría la capacidad de modificar. Al engañar a Download Protection para que escribiera en una ubicación protegida del sistema en su nombre, el programa malicioso podría causar indirectamente cambios que normalmente solo se permiten a los procesos de nivel de administrador.

Esto es lo que convirtió a CVE-2026-2638 en una escalada de privilegios local: no robando acceso a nivel de administrador, sino engañando a una operación legítima a nivel de administrador para que hiciera algo que nunca se pretendió que hiciera.

En la práctica, esto significa que el programa malicioso podría realizar cambios en el comportamiento a nivel del sistema del dispositivo que deberían requerir autorización de administrador.

Lo que NO es CVE-2026-2638

No hay una violación de los servidores de X-VPN.
No es una vulnerabilidad en el túnel VPN, protocolo de cifrado, sistema de cuentas o infraestructura del servidor.
No es un ataque remoto, requiere acceso local de bajo privilegio al dispositivo.
No aplicable a otras plataformas ni a la versión de la App Store.

Cómo lo solucionamos

La versión 77.5.1 de X-VPN para macOS refuerza el flujo de trabajo de restauración de archivos de protección de descargas. Las principales mejoras incluyen:

1. Verificaciones de consistencia de identidad de archivos

Cuando un archivo descargado es escaneado por la capa de protección, la huella digital del contenido del archivo ahora se registra. Si más tarde es necesario poner el archivo en cuarentena, X-VPN vuelve a verificar si el contenido actual del archivo aún coincide con lo que se escaneó.

Si el archivo ha sido reemplazado, modificado o de alguna manera cambiado después del escaneo, el proceso de cuarentena es rechazado.

2. Validación de la Integridad de Cuarentena

Después de que un archivo entra en cuarentena, se registra información de integridad sobre su estado de cuarentena. Antes de que un usuario restaure el archivo, X-VPN vuelve a verificar que el archivo en cuarentena siga en su estado de cuarentena registrado.

Si el archivo en cuarentena ha sido reemplazado o modificado, la operación de restauración está bloqueada.

3. Los enlaces simbólicos no son aceptados en operaciones críticas.

El flujo de trabajo de protección de descargas ahora se niega a escanear o restaurar archivos de enlace simbólico. Esto evita que los atacantes redirijan las operaciones de cuarentena o restauración a archivos no deseados mediante la manipulación de rutas.

En general, esta solución ya no se basa únicamente en las rutas de archivo para identificar el archivo en el que se está operando. En su lugar, X-VPN ahora utiliza verificaciones de integridad de contenido en múltiples etapas para verificar que los archivos no hayan sido reemplazados o modificados durante las etapas de escaneo, cuarentena y restauración. También bloquea la redirección de enlaces simbólicos que de otro modo podría hacer que las operaciones de restauración privilegiadas se aplicaran a ubicaciones de archivo no deseadas.

Entendiendo la gravedad

CVE-2026-2638 fue calificado con una puntuación base CVSS v4.0 de 7.3 (Alta), con la cadena de vector:

CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS (Sistema Común de Puntuación de Vulnerabilidades) es el marco estándar de la industria para calificar la gravedad de las vulnerabilidades de seguridad. Según FIRST, la organización que mantiene el estándar CVSS, CVSS mide cuán grave podría ser una vulnerabilidad si se explota con éxito, no cuán probable es que esa explotación ocurra en la práctica. Una calificación «Alta» refleja, por lo tanto, cuánto daño podría causar la vulnerabilidad bajo una explotación exitosa, no una predicción de cuán probable es que se explote contra usuarios reales.

La cadena de vectores anterior descompone la puntuación en múltiples dimensiones, como de dónde debe originarse el ataque, qué condiciones deben cumplirse para explotarlo y cuán seriamente podría afectar un ataque exitoso al sistema.

En la práctica, dos atributos del vector explican por qué explotar CVE-2026-2638 está lejos de ser sencillo:

AV:L (Vector de Ataque: Local). La explotación requiere acceso local al dispositivo. La vulnerabilidad no se puede activar de forma remota a través de Internet.
AT:P (Requisitos de Ataque: Presente). Se deben cumplir condiciones específicas para que el ataque tenga éxito, incluida la capacidad de interactuar con el flujo de trabajo de restauración del archivo de protección de descarga afectado y manipular el manejo de archivos dentro de una ventana de tiempo estrecha.

Por lo tanto, CVE-2026-2638 debe tomarse en serio, y los usuarios de las versiones de sitios web de macOS afectadas deben actualizar a la versión 77.5.1 o posterior del sitio web de X-VPN para macOS. Sin embargo, dado que la explotación requiere acceso local y condiciones específicas, no coloca a los usuarios de X-VPN en un riesgo remoto inmediato y a gran escala.

Alcance Afectado

La tabla a continuación resume qué versiones de X-VPN están afectadas por CVE-2026-2638:

Plataformas y versión	¿Afectado?
X-VPN macOS sitio web versiones 77.0 a 77.5 (la versión independiente de macOS descargada de xvpn.io)	⚠️ Afectado — por favor actualice inmediatamente
Sitio web de X-VPN para macOS, versión 77.5.1 y posteriores	✅ No afectado (contiene la solución)
X-VPN Mac versión de la App Store	✅ No afectado
X-VPN para Windows / Linux / iOS / Android / TV / Router / Chromebook / Consolas de Juegos / Extensión de Chrome	✅ No afectado

Recomendaciones para usuarios

Actualiza a la última versión de inmediato

Update to the latest version immediately

Para verificar tu versión actual:

Abre la aplicación X-VPN en tu MacBook.
Haz clic en Configuración en la esquina inferior izquierda.
Haz clic en Acerca de X-VPN.
Su versión actual se muestra bajo «X-VPN para Mac».

Si tu versión está entre 77.0 y 77.5, actualiza descargando la última versión desde nuestra página de descarga para Mac.

Próximos pasos y contacto

X-VPN sigue comprometido con la seguridad del usuario más allá de este problema específico. Como parte de nuestras prácticas de seguridad continuas.

Auditorías de código continuas y escaneos de vulnerabilidades: Revisamos regularmente nuestra base de código y realizamos verificaciones de seguridad para identificar y abordar problemas potenciales antes de que lleguen a los usuarios.

Programa de Recompensas por Errores: Damos la bienvenida a los investigadores de seguridad para que envíen informes de vulnerabilidad responsables a través de nuestro Programa de Recompensas por Errores. Los hallazgos válidos y reproducibles son elegibles para recompensas monetarias, ayudándonos a fortalecer la seguridad de cada cliente de X-VPN.

Canal de reporte directo: Si descubres una preocupación de seguridad o sospechas un comportamiento inusual en X-VPN, por favor envía un correo electrónico a security@xvpn.io. Todos los informes son revisados por nuestro equipo de seguridad.

Agradecemos a Fluid Attacks por divulgar de manera responsable CVE-2026-2638 y por trabajar con nosotros a través del proceso de divulgación coordinada.

Preguntas frecuentes

¿Se ha solucionado esta vulnerabilidad?

Sí. La vulnerabilidad se ha resuelto por completo en X-VPN para la versión del sitio web de macOS 77.5.1. Los usuarios de las versiones 77.0–77.5 deben actualizarse de inmediato.

¿Estoy en riesgo si estoy usando X-VPN?

Solo los usuarios de macOS en versiones descargadas directamente 77.0 a 77.5 se ven afectados. Si estás en la versión 77.5.1 o posterior, en la versión de la App Store, o en cualquier otra plataforma (Windows, iOS, Android, Linux, etc.), no te ves afectado.

¿Está habilitada la Protección de Descargas de forma predeterminada en la versión del sitio web de X-VPN para macOS?

No. La Protección de Descargas está desactivada por defecto en la versión del sitio web de X-VPN para macOS y debe habilitarse manualmente.
Dado que el flujo de trabajo vulnerable solo se ejecuta cuando la Protección de Descargas está activa, solo los usuarios que habían habilitado explícitamente esta función en una versión afectada del sitio web de macOS (77.0 a 77.5) estuvieron expuestos a CVE-2026-2638. Los usuarios que nunca habilitaron la Protección de Descargas no estuvieron expuestos a la ruta de código vulnerable.

¿Esto afecta mi cifrado de VPN o mis datos?

No. La vulnerabilidad es un problema de escalada de privilegios local en el propio dispositivo del usuario. No está en el túnel VPN de X-VPN, el protocolo de cifrado, el sistema de cuentas o la infraestructura del servidor.

¿Alguien ha sido realmente atacado utilizando esta vulnerabilidad?

No hemos observado informes de que esta vulnerabilidad haya sido explotada en la naturaleza. Fue descubierta e informada por Fluid Attacks a través de un proceso de divulgación responsable, lo que nos permitió solucionarlo antes de cualquier explotación conocida.

¿Puede el ataque ocurrir de forma remota a través de Internet?

No. Explotar esta vulnerabilidad requiere que el atacante ya tenga acceso local de bajo privilegio al MacBook del usuario. No se puede activar de forma remota a través de la red o mediante un sitio web malicioso.

¿Dónde puedo informar sobre problemas de seguridad a X-VPN?

Por favor, envíe un correo electrónico a security@xvpn.io o envíe a través de nuestro Programa de Recompensas por Errores. Agradecemos y recompensamos las divulgaciones de seguridad responsables.

Article by

Sandra Mitchell

Sandra Mitchell, escritora de X-VPN, es una defensora amigable de la privacidad y seguridad en línea con una pasión por la ciberseguridad y las últimas tendencias tecnológicas. A través de su escritura atractiva, Sandra empodera a los lectores para que controlen su privacidad digital. Más allá de explorar las complejidades de las VPN, disfruta de aventuras al aire libre, la literatura y compartir la importancia de la seguridad en línea con los demás.