El 7 de febrero de 2026 el equipo de seguridad de Debian publicó el aviso DSA-6123-1 para corregir un fallo crítico en xrdp, la implementación libre del protocolo RDP (Remote Desktop Protocol) que tantos servidores Linux usan para dar escritorio remoto. El agujero, registrado como CVE-2025-68670, se llevó un CVSS 9.8 y permite ejecutar código en remoto sin presentar credenciales.
Qué es la vulnerabilidad
Hablamos de un desbordamiento de buffer en pila (stack-based buffer overflow) provocado por una comprobación de límites mal hecha al procesar la información de dominio que manda el cliente durante la fase inicial de la conexión RDP. El análisis de los investigadores de Kaspersky apunta a la función xrdp_wm_parse_domain_information(): un buffer de pila de 256 bytes (resultIP) recibe datos de un campo de dominio que puede llegar a 512 bytes en UTF-16, y nadie valida bien la longitud antes de copiarlos.
Cuando el nombre de dominio arranca con un guion bajo (_), el código busca un delimitador y copia todo lo que queda entre dos secuencias en ese buffer de 256 bytes. Y como el dominio puede crecer de forma impredecible al pasar a UTF-8, un atacante tiene margen para fabricar un valor que rebose el buffer y machaque la pila.
Lo grave es que toda esa lógica corre antes de autenticar al cliente. No hace falta usuario ni contraseña válidos. Con que el atacante alcance el servicio por red ya puede intentar disparar el fallo.
A quién afecta
Afecta a cualquier servidor Linux con xrdp expuesto en red, sobre todo en el puerto RDP estándar (3389). Es algo de lo más común en servidores corporativos, entornos de teletrabajo y máquinas en la nube que sirven escritorio remoto. Las instalaciones accesibles directamente desde Internet son las que más se la juegan.
Quien encontró el fallo fue Denis Skvortsov durante una auditoría de seguridad. El informe salió el 5 de diciembre de 2025, el identificador CVE se asignó el 24 de diciembre de 2025 y el parche entró en la rama principal del proyecto el 27 de enero de 2026.
Gravedad
Junta ejecución remota de código, cero autenticación y acceso por red y tienes un fallo de manual en la categoría crítica (CVSS 9.8). Si la explotación sale bien, puede acabar en el compromiso total del sistema, en una denegación de servicio o en acceso no autorizado al entorno Linux afectado.
Mitigación y parche
La recomendación no tiene vuelta de hoja: actualiza xrdp ya. Debian publicó versiones corregidas:
- Bookworm (oldstable):
0.9.21.1-1+deb12u2 - Trixie (stable):
0.10.1-3.1+deb13u1
En upstream, la corrección entró en la rama principal (versión 0.10.5) y se retroportó a las series 0.9.27 y 0.10.4.1.
Para actualizar en Debian te basta con un apt update && apt upgrade y reiniciar el servicio xrdp. Y ya que estás, no dejes xrdp expuesto directamente a Internet: déjalo en redes internas, ponlo detrás de una VPN o un bastión, y cierra el acceso al puerto 3389 con el cortafuegos.
Si quieres reforzar la separación de privilegios en el sistema operativo de debajo, también merece la pena repasar los mecanismos de control de acceso obligatorio del kernel.
Puedes consultar la ficha de la distribución afectada en Debian.
Fuente
- Aviso oficial: Debian Security Advisory DSA-6123-1 (xrdp)
- Detalle del CVE: CVE-2025-68670 en NVD