Iurlek - Noticias Seguridad
cve-2026-15013 afecta al plugin SAML Single Sign On en WordPress, permitiendo una omisión de autenticación que otorga control total de cuentas administrativas. Esta vulnerabilidad crítica posibilita la falsificación de firmas SAML y la obtención de cookies de sesión válidas sin autenticación previa. cve-2026-12492 expone un fallo crítico en un plugin de WordPress que permite acceso sin autenticación válida. Este fallo permite a atacantes ingresar como administradores o crear cuentas nuevas sin restricciones. cve-2026-15925 afecta al conector Python de Snowflake con un fallo crítico de validación TLS que permite interceptar datos y ejecutar comandos SQL arbitrarios. La explotación requiere acceso en red y puede exponer información sensible. Es imprescindible actualizar a la versión corregida para eliminar el riesgo. cve-2026-22752 implica una grave falla de bypass de autenticación en Spring Authorization Server, comprometiendo la seguridad en el control de accesos. Esta vulnerabilidad crítica permite a un atacante saltarse mecanismos de autenticación, poniendo en riesgo sistemas protegidos por este servidor. cve-2023-49899 afecta a dispositivos de control industrial de Claroty Team82, permitiendo la ejecución remota de comandos sin autenticación. Esta vulnerabilidad crítica compromete la integridad y control total del dispositivo. cve-2023-49900 afecta a Claroty Team82, permitiendo la ejecución remota de código sin autenticación mediante la manipulación del comando SetParameter. Esta vulnerabilidad crítica pone en riesgo sistemas industriales esenciales. cve-2026-11386 afecta a Ubuntu Pro client permitiendo ejecución remota con privilegios elevados mediante inyección en fuentes APT. La vulnerabilidad permite instalar paquetes maliciosos y comprometer sistemas Ubuntu Server de nube. Es una falla crítica por la exposición a ejecución de código arbitrario con root. cve-2026-63304 describe una vulnerabilidad crítica en WWBN AVideo que permite la ejecución remota de comandos por inyección. Este fallo se debe a la falta de escape en los parámetros de una función interna. La vulnerabilidad pone en riesgo la integridad y seguridad del servidor que aloja la aplicación. cve-2026-63305 expone una vulnerabilidad crítica en WWBN AVideo que permite la ejecución remota de comandos debido a una inyección en el sistema operativo. Esta falla pone en riesgo la seguridad del servidor y la integridad del sistema de gestión de vídeo. cve-2026-63306 afecta a Stoatchat por una vulnerabilidad crítica que permite solicitudes remotas sin autenticación. Atacantes pueden acceder a servicios internos y metadatos sensibles a través de URLs maliciosas en endpoints específicos. cve-2026-14890 es una vulnerabilidad crítica que permite la ejecución remota de código sin autenticación en el sistema de copias de seguridad SGLang que utiliza ZeroMQ. Representa un riesgo grave por la falta de controles en la deserialización de datos. Su explotación puede comprometer completamente el sistema afectado. cve-2026-45695 afecta a Kopia, permitiendo ejecución remota de comandos debido a una configuración insegura en su servidor HTTP sin autenticación. Esta vulnerabilidad crítica facilita que un atacante pueda ejecutar código arbitrario en el sistema de la víctima. cve-2026-54733 afecta a la integración de Microsoft 365 con Moodle permitiendo suplantación de identidad sin verificación de firmas en tokens JWT, lo que facilita la obtención no autorizada de sesiones de usuario. Esta vulnerabilidad es crítica y compromete gravemente la seguridad del proceso de autenticación. cve-2026-59864 describe una vulnerabilidad crítica de recorrido de directorios en el generador de código Kiota de Microsoft, que afecta a plugins de Microsoft 365 Copilot y Teams. Permite la inclusión arbitraria de archivos remotos o locales a través de rutas no validadas en plantillas estáticas. cve-2026-59865 afecta a Microsoft Kiota y permite la ejecución remota de código mediante inyección de comandos. Esta vulnerabilidad crítica se debe a la ejecución de comandos no confiables en el comando kiota info. La explotación activa ha sido confirmada, representando un alto riesgo para la seguridad de usuarios y desarrolladores. cve-2026-59866 afecta a Microsoft Kiota generando código con nombres no saneados, permitiendo la ejecución fuera del directorio esperado y la inyección de texto arbitrario. La vulnerabilidad es crítica y pone en riesgo la integridad del código generado y la seguridad del entorno de desarrollo. cve-2026-44632 describe una vulnerabilidad crítica en yamcs que permite la ejecución remota de código mediante la inyección de código Java sin restricciones. Esta falla afecta directamente a la seguridad del sistema operativo que ejecuta el servidor yamcs. cve-2026-45568 es una vulnerabilidad crítica que permite a atacantes controlar respuestas del servidor en Zrok Python SDK. Esta falla permite ejecutar solicitudes HTTP arbitrarias desde el servidor afectado. cve-2026-46562 describe una vulnerabilidad crítica en Yamcs que permite la ejecución remota de código y comandos del sistema. La falla se origina por la falta de un filtro de clases en la evaluación de scripts JavaScript. La solución pasa por actualizar a versiones que restringen la edición de algoritmos. cve-2026-46621 impacta grave ejecución remota de código en Yamcs debido a fallo en la evaluación dinámica de scripts Python sin aislamiento. La vulnerabilidad permite a usuarios autenticados ejecutar código arbitrario a través de la API REST. cve-2026-63087 aprovecha un acceso no autenticado en Grafana OnCall que permite la creación de usuarios admin y la manipulación de llamadas API. Esta vulnerabilidad tiene un impacto crítico en la seguridad del sistema. cve-2026-45336 es una vulnerabilidad crítica en HireFlow que permite la suplantación de sesión mediante cookies firmadas con una clave secreta fija. Esta falla compromete la autenticación y el control de acceso en la aplicación web. cve-2026-46512 describe una vulnerabilidad crítica en frogman que permite la ejecución remota de comandos en sistemas Asterisk. Esta falla afecta la sanitización incompleta de parámetros y puede ser explotada para inyectar instrucciones arbitrarias con permisos de escritura. cve-2026-46515 describe una vulnerabilidad crítica que expone secretos y credenciales en Frogman. Esta falla permite acceso no autorizado y la ejecución remota de consultas sensibles. La solución se encuentra disponible en una actualización posterior. cve-2026-15422 afecta a illumos-gate permitiendo ejecución remota de código por corrupción de memoria al procesar SCTP. Esta vulnerabilidad es crítica y permite ataques remotos sin autenticación previa. El fallo reside en la validación incorrecta de los parámetros de dirección en paquetes INIT ACK. cve-2026-63089 afecta a WireGuard Easy permitiendo la recuperación de credenciales y la suplantación de identidad en redes VPN. Esta vulnerabilidad se debe a un defecto criptográfico en la generación de tokens, facilitando la exposición de claves privadas y preshared keys sin limitación de acceso. cve-2026-44180 provoca una vulnerabilidad crítica en Jupyter Enterprise Gateway que permite la ejecución de código con privilegios raíz y el escape de contenedores en clusters Kubernetes. Esto compromete la seguridad de los nodos trabajadores y afecta directamente a todo el clúster debido a la ejecución remota de código con elevación de privilegios. cve-2026-53412 describe una falla crítica en Zoom que permite la toma de control de cuentas sin autenticación mediante acceso remoto. Esta vulnerabilidad posee una alta gravedad y afecta a clientes de Windows de Zoom, representando un riesgo importante para la seguridad de usuarios y organizaciones. cve-2026-44181 es una vulnerabilidad crítica que permite la ejecución remota de código en Jupyter Enterprise Gateway mediante inyección de plantilla. Esta falla afecta al despliegue en Kubernetes y puede comprometer completamente el clúster, incluyendo el robo de secretos y control de pods privilegiados. cve-2026-44182 afecta a Jupyter Enterprise Gateway permitiendo inyección YAML en manifiestos de Kubernetes que puede resultar en ejecución remota de código con privilegios elevados. La explotación es confirmada y la vulnerabilidad es crítica. cve-2026-14956 permite a atacantes no autenticados escalar privilegios y crear cuentas administrativas en sitios WordPress con Bricksforge. Esta vulnerabilidad crítica afecta a todas las versiones hasta la 3.1.8.6 del plugin y se basa en una validación deficiente de parámetros en el formulario de registro. cve-2026-62232 presenta una omisión crítica en la autenticación de dos factores en Grav, permitiendo a atacantes evitar este mecanismo y acceder solo con contraseña. cve-2026-62241 expone datos sensibles por una clave secreta fija en Clawvet API server, permitiendo ataques sin autenticación que revelan información privada del usuario.
100 Folgen
Kommentare
0Sei die erste Person, die kommentiert
Melde dich jetzt an und werde Teil der Iurlek - Noticias Seguridad-Community!