Abans de posar-te a buscar pedaços nous per a VirtualBox, val la pena situar bé una vulnerabilitat que segueix apareixent a les cerques de seguretat: CVE-2026-35248. No és un avís de juny. El va publicar Oracle al seu Critical Patch Update de l’abril de 2026, el darrer butlletí trimestral de seguretat de la companyia abans de l’estiu. El següent CPU té data de juliol de 2026, així que durant el juny no hi va haver cap avís nou de seguretat per a VirtualBox.
Què és CVE-2026-35248
El fallo és al component Core d’Oracle VM VirtualBox i afecta la versió 7.2.6. Oracle li assigna una puntuació CVSS 3.1 de 5.0, dins del rang mitjà. El que manté aquest valor relativament baix és la condició per explotar-lo: cal un atacant amb privilegis elevats i accés a la infraestructura on corre VirtualBox. No és res que un visitant d’un web o un convidat sense permisos pugui disparar a distància pel seu compte.
Dit d’una altra manera: per aprofitar aquest fallo, algú ha d’estar ja a dins, amb credencials d’un cert nivell i accés a l’entorn de virtualització. Això redueix molt el conjunt d’escenaris reals, encara que no converteix el fallo en irrellevant en màquines amfitriones compartides per diverses persones.
A qui li importa
Si fas servir VirtualBox al teu equip d’escriptori per provar distribucions, muntar laboratoris o aïllar entorns, el risc pràctic aquí és baix, perquè tu ja controles l’amfitrió. El cas que sí que mereix atenció és el de les infraestructures compartides: servidors amb VirtualBox on conviuen diversos usuaris o comptes amb permisos diferents. Allà un atacant intern amb privilegis podria tenir una via addicional gràcies a aquest fallo del Core.
La bona notícia per a la majoria és senzilla. La versió afectada és la 7.2.6, i la branca 7.2 ja va per la 7.2.10, publicada el 16 de juny de 2026 com a darrera versió disponible de VirtualBox. Si tens la 7.2.10 instal·lada, estàs per sobre de la versió vulnerable. Les actualitzacions de manteniment de la sèrie 7.2 han anat arrossegant les correccions de seguretat dels CPU trimestrals a banda dels arranjaments d’estabilitat.
Mitigació amb dades reals
La mitigació és la que es pot esperar: actualitzar. Passar de la 7.2.6 a la 7.2.10 et deixa per sobre de la versió que Oracle marca com a afectada per CVE-2026-35248. Aquí no hi ha cap configuració alternativa que substitueixi l’actualització; el camí és instal·lar la darrera versió de manteniment de la branca 7.2.
Com a mesura complementària en entorns multiusuari, revisa qui té privilegis elevats sobre l’amfitrió i accés a la infraestructura de virtualització, ja que aquesta és justament la condició que CVE-2026-35248 necessita. Limitar aquest accés redueix la superfície de qualsevol fallo del Core que demani privilegis previs, no només d’aquest.
Si t’interessa la cara de seguretat de la virtualització més enllà de VirtualBox, fa poc vam analitzar un fallo de QEMU/KVM en què un convidat podia tombar el procés de l’amfitrió: CVE-2026-48914 a virtio-blk/SCSI. El patró és diferent, però serveix per veure com es valoren aquests riscos al programari de màquines virtuals.
Font
- Oracle Critical Patch Update Advisory, abril de 2026: https://www.oracle.com/security-alerts/cpuapr2026.html