Antes de ponerte a buscar parches nuevos para VirtualBox, conviene situar bien una vulnerabilidad que sigue apareciendo en consultas de seguridad: CVE-2026-35248. No es un aviso de junio. Lo publicó Oracle en su Critical Patch Update de abril de 2026, el último boletín trimestral de seguridad de la compañía antes del verano. El siguiente CPU está fechado en julio de 2026, así que durante junio no hubo un aviso nuevo de seguridad para VirtualBox.
Qué es CVE-2026-35248
El fallo está en el componente Core de Oracle VM VirtualBox y afecta a la versión 7.2.6. Oracle le asigna una puntuación CVSS 3.1 de 5.0, dentro del rango medio. Lo que mantiene ese valor relativamente bajo es la condición para explotarlo: hace falta un atacante con privilegios elevados y acceso a la infraestructura donde corre VirtualBox. No es algo que un visitante de una web o un invitado sin permisos pueda disparar a distancia sin más.
Dicho de otra forma: para aprovechar este fallo, alguien tiene que estar ya dentro, con credenciales de cierto nivel y acceso al entorno de virtualización. Eso reduce mucho el universo de escenarios reales, aunque no convierte el fallo en irrelevante en despliegues donde varias personas comparten la misma máquina anfitriona.
A quién le importa
Si usas VirtualBox en tu equipo de escritorio para probar distribuciones, montar laboratorios o aislar entornos, el riesgo práctico aquí es bajo, porque tú ya controlas el host. El caso que sí merece atención es el de las infraestructuras compartidas: servidores con VirtualBox donde conviven varios usuarios o cuentas con permisos distintos. Ahí un atacante interno con privilegios podría tener una vía adicional gracias a este fallo del Core.
La buena noticia para la mayoría es sencilla. La versión afectada es la 7.2.6, y la rama 7.2 ya va por la 7.2.10, publicada el 16 de junio de 2026 como última versión disponible de VirtualBox. Si tienes la 7.2.10 instalada, estás por encima de la versión vulnerable. Las actualizaciones de mantenimiento de la serie 7.2 han ido arrastrando las correcciones de seguridad de los CPU trimestrales además de los arreglos de estabilidad.
Mitigación con datos reales
La mitigación es la que cabe esperar: actualizar. Pasar de la 7.2.6 a la 7.2.10 te deja por encima de la versión que Oracle marca como afectada por CVE-2026-35248. No hay aquí una configuración alternativa que sustituya a la actualización; el camino es instalar la última versión de mantenimiento de la rama 7.2.
Como medida complementaria en entornos multiusuario, revisa quién tiene privilegios elevados sobre el host y acceso a la infraestructura de virtualización, ya que esa es justamente la condición que CVE-2026-35248 necesita. Limitar ese acceso reduce la superficie de cualquier fallo del Core que pida privilegios previos, no solo de este.
Si te interesa el lado de seguridad en virtualización más allá de VirtualBox, hace poco analizamos un fallo de QEMU/KVM en el que un invitado podía tumbar el proceso del host: CVE-2026-48914 en virtio-blk/SCSI. El patrón es distinto, pero sirve para ver cómo se valoran estos riesgos en software de máquinas virtuales.
Fuente
- Oracle Critical Patch Update Advisory, abril de 2026: https://www.oracle.com/security-alerts/cpuapr2026.html