Top Vulnerabilidades Críticas 02-07-2026
cve-2026-11387 describe una vulnerabilidad crítica en un plugin de WordPress para WooCommerce que permite la escalada de privilegios mediante la toma de control de cuentas al no validar correctamente la identidad del usuario.
cve-2026-14198 afecta a Fastify, permitiendo eludir controles de middleware mediante la manipulación de rutas. El fallo provoca que middleware de seguridad no se aplique correctamente, abriendo un vector para ataques sin autenticación. La solución pasa por actualizar el paquete o evitar middleware en rutas parametrizadas para decisiones críticas.
cve-2026-13603 afecta a pretix-oppwa, permitiendo la filtración del token de acceso debido a una validación insuficiente de URL. Esta vulnerabilidad crítica permite acceso no autorizado a datos de pago sensibles y requiere actualización inmediata y renovación del token.
cve-2026-57692 describe una vulnerabilidad crítica en el plugin PrivateContent de WordPress que permite la escalada de privilegios debido a una asignación incorrecta de permisos. Esta falla afecta directamente la seguridad al permitir a usuarios obtener permisos no autorizados.
cve-2026-23537 afecta a Feast Feature Server con una vulnerabilidad crítica que permite la escritura arbitraria de archivos sin autenticación, poniendo en riesgo la integridad y disponibilidad del sistema. Esta falla puede ser explotada para ejecutar código remoto o causar denegación de servicio.
cve-2025-15646 expone una falla crítica en la biblioteca Gumbo HTML que permite la divulgación de memoria debido a un manejo incorrecto del elemento template. Esta vulnerabilidad puede comprometer información sensible mediante explotación activa.
cve-2025-23350 afecta a dispositivos NVIDIA ConnectX y BlueField, permitiendo la ejecución arbitraria de código mediante una escritura fuera de límites. Esta vulnerabilidad crítica tiene explotación activa confirmada, representando un riesgo grave para la seguridad del hardware de red y aceleración.
cve-2025-23351 afecta a dispositivos de red NVIDIA ConnectX y BlueField, permitiendo ejecución remota de código mediante desbordamiento de escritura causado por acceso a funciones virtuales. Es una vulnerabilidad crítica con explotación confirmada que compromete la seguridad del dispositivo.
cve-2026-24270 describe una vulnerabilidad crítica en NVIDIA AIStore framework que permite saltarse la autenticación y provocar daños graves como escalada de privilegios y divulgación de datos. La explotación activa confirmada de esta falla exige atención inmediata.
cve-2026-57517 afecta a Control Web Panel permitiendo ejecución remota de código mediante una inyección SQL ciega. Esta vulnerabilidad crítica posibilita a atacantes no autenticados manipular consultas SQL y obtener acceso remoto con privilegios elevados.
cve-2026-58126 afecta a P A C Sgear PACS Scan permitiendo ejecución remota de código sin necesidad de autenticación mediante un servicio TCP expuesto y DLL hijacking. Es una vulnerabilidad crítica con impacto en la seguridad total del sistema.
cve-2026-58127 afecta a PACSgear MediaWriter con ejecución remota de código crítica. Permite a atacantes sin autenticación controlar el sistema con privilegios elevados. Es una vulnerabilidad grave que vuelve inseguro el ambiente del servicio afectado.
cve-2026-34099 expone una inyección SQL crítica en Guardian language-system que permite extraer datos sensibles sin autenticación. La vulnerabilidad afecta la seguridad de las bases de datos y puede ser explotada activamente por atacantes.
cve-2026-34100 afecta a Guardian language-system con una inyección SQL crítica que permite extraer datos sin autorización. La explotación activa confirmada la convierte en una amenaza inmediata para la seguridad de los sistemas afectados.
cve-2026-34101 describe una inyección SQL crítica en Guardian language-system. Esta falla permite a un atacante autenticado extraer contenidos de la base de datos mediante consultas manipuladas. La amenaza es altamente crítica debido al acceso directo a información sensible.
cve-2026-34102 expone una crítica inyección SQL en Guardian language-system que permite extraer datos confidenciales a atacantes autenticados.
cve-2026-34103 afecta a Guardian language-system por una inyección SQL que permite extraer datos de la base de datos. Esta vulnerabilidad es crítica y tiene explotación confirmada, requiriendo atención inmediata para evitar divulgación de información sensible.
cve-2026-34104 es una vulnerabilidad crítica que permite la inyección SQL en Guardian language-system, resultando en la posible extracción de datos sensibles mediante ejecución remota de consultas maliciosas.
cve-2026-34105 es una vulnerabilidad crítica de inyección SQL en Guardian language-system que permite la extracción no autorizada de datos a través de un parámetro sin sanitizar. Es una falla que compromete la confidencialidad de la base de datos con explotación confirmada.
cve-2026-34106 expone un sistema de gestión de subtítulos a ejecución remota de comandos en el servidor sin autenticación requerida. Esto permite a atacantes remotos ejecutar código arbitrario con consecuencias graves para la seguridad del sistema.
cve-2026-34107 permite a atacantes remotos ejecutar comandos arbitrarios sin autenticación en Guardian language-system. La vulnerabilidad se debe a la falta de saneamiento en parámetros PHP que permite la ejecución de código malicioso. Este fallo crítico pone en riesgo la integridad completa del servidor afectado.
cve-2026-34108 expone ejecución remota de código en Guardian language-system debido a parámetros no sanitizados. La vulnerabilidad permite a atacantes no autenticados ejecutar comandos arbitrarios en el servidor, causando un alto riesgo de compromiso.
cve-2026-34109 afecta a Guardian Language-System con ejecución remota de comandos mediante inyección en parámetros no sanitizados, permitiendo comandos arbitrarios sin autenticación. Esta vulnerabilidad es crítica y explotada activamente, poniendo en riesgo la integridad del servidor.
cve-2026-34110 permite ejecución remota de comandos sin autenticación en Guardian language-system por inyección en parámetros PHP. Representa un riesgo crítico para la integridad del servidor y su operación segura.
cve-2026-34111 describe una vulnerabilidad crítica en Guardian language-system que permite la ejecución remota de comandos sin autenticación. Esta falla permite a atacantes ejecutar código arbitrario en el servidor de forma remota.
cve-2026-34112 expone un fallo crítico en Guardian language-system que permite ejecución remota de código sin autenticación. Esta vulnerabilidad pone en riesgo el control total del servidor afectado.
cve-2026-34113 expone una ejecución remota de código en Guardian language-system debido a la falta de saneamiento en parámetros de entrada, permitiendo comandos arbitrarios sin autenticación.
cve-2026-34114 permite la ejecución remota de código en un sistema de traducción de texto, facilitando a un atacante acceso completo al servidor sin autenticación.
cve-2026-34115 afecta a Guardian language-system, permitiendo ejecución remota de código a través de inyección de comandos sin autenticación. La vulnerabilidad es crítica y explotación activa ha sido confirmada.
cve-2026-34116 afecta a Guardian language-system permitiendo ejecución remota de comandos sin autenticación. Esta vulnerabilidad crítica compromete la seguridad del servidor permitiendo control total a atacantes remotos.
cve-2026-34117 es una vulnerabilidad crítica que permite la ejecución remota de código en Guardian language-system. Un atacante sin autenticar puede controlar el servidor mediante comandos maliciosos. Esta falla representa un riesgo grave para la seguridad de los sistemas afectados.
cve-2026-58453 permite acceso no autorizado total a cámaras IP Wi-Fi de JAIOTlink, comprometiendo imágenes, vídeos y configuración. Es una vulnerabilidad crítica con explotación activa que facilita control remoto completo por credenciales predeterminadas.
cve-2026-50160 afecta a Hoppscotch permitiendo a atacantes no autenticados tomar control del servidor mediante sobrescritura de claves secretas. Es una vulnerabilidad crítica de asignación masiva con impacto total en la seguridad del servicio.
cve-2026-58457 permite ejecutar comandos arbitrarios con privilegios root en el repetidor Shenzhen Aitemi M300 Wi-Fi. La vulnerabilidad se aprovecha mediante parámetros GET sin sanitizar en el dispositivo. Su criticidad es máxima por el completo control que otorga al atacante.
cve-2026-14382 permite la ejecución remota de código en Google Chrome debido a una falla en la validación de entradas en ANGLE. Esta vulnerabilidad crítica puede permitir la ruptura del sandbox, comprometiendo la seguridad del sistema del usuario.
cve-2026-14387 es una vulnerabilidad crítica en Google Chrome que permite la evasión del sandbox a través de un desbordamiento de entero. Esta falla afecta a la biblioteca gráfica Skia, usada para procesar contenido web. La explotación activa de esta vulnerabilidad hace que sea prioritario aplicar la actualización correspondiente.
cve-2026-14390 afecta a Google Chrome y permite la ejecución remota de código con escape de sandbox a través de una página HTML maliciosa. Esta vulnerabilidad es crítica y tiene una alta puntuación de severidad, representando un riesgo significativo para los usuarios del navegador.
cve-2026-14392 permite la ejecución remota de código mediante evasión de sandbox en Google Chrome. Esta vulnerabilidad de severidad crítica destaca por su explotación activa y su impacto en la seguridad del navegador.
cve-2026-14397 es una vulnerabilidad crítica en Google Chrome que permite una evasión del sandbox mediante una escritura fuera de límites. Esta falla afecta la seguridad del navegador y es explotada activamente.
cve-2026-14398 afecta a Google Chrome permitiendo una posible ejecución remota de código y escape de sandbox. Se trata de una vulnerabilidad crítica con explotación activa confirmada basada en un uso después de liberación en ANGLE.
cve-2026-14405 afecta a Google Chrome permitiendo ejecución remota de código mediante uso de memoria no inicializada. La vulnerabilidad tiene una severidad crítica con impacto en la seguridad del navegador.
cve-2026-14411 muestra una vulnerabilidad crítica en Google Chrome que permite un escape de sandbox mediante entradas maliciosas. Esta falla expone al navegador a riesgos de ejecución remota de código con altos privilegios.
cve-2026-14416 es una vulnerabilidad crítica en Google Chrome que permite la evasión de la jaula de seguridad mediante una lectura fuera de límites en el navegador. La amenaza es severa y puede ser explotada remotamente.
cve-2026-14417 afecta a Google Chrome con una vulnerabilidad crítica de uso tras liberación que permite evasión del sandbox y ejecución remota de código.
cve-2026-14419 afecta a Google Chrome y permite una posible evasión del sandbox a través de una página HTML manipulada. Es una vulnerabilidad crítica que ha sido explotada activamente, poniendo en riesgo la seguridad de los usuarios.
cve-2026-14420 afecta a Google Chrome permitiendo un escape de sandbox mediante lectura y escritura fuera de límites en el motor Dawn. Esta vulnerabilidad es altamente crítica y explotable remotamente debido a un error en el manejo de memoria.
cve-2026-14423 expone a Google Chrome a una grave vulnerabilidad de confusión de tipos que permite escapar del sandbox del navegador. Esta falla es crítica y su explotación ya ha sido confirmada en ataques reales.
cve-2026-14424 afecta a Google Chrome permitiendo escape de sandbox por uso después de liberación de memoria. Esta vulnerabilidad crítica pone en riesgo la seguridad mediante páginas web manipuladas.
cve-2026-14425 afecta a Google Chrome con una vulnerabilidad que permite la evasión del sandbox mediante una página HTML manipulada. Esta falla grave facilita la ejecución remota de código con privilegios elevados.
cve-2026-14439 describe una vulnerabilidad crítica en productos de Altium que permite ejecución remota de código mediante path traversal en el servicio Git. La falla afecta a entornos multi-inquilino y permite acceso no autorizado a datos sensibles. Se han aplicado mitigaciones en versiones concretas y despliegues compartidos.
Kommentare
0Sei die erste Person, die kommentiert
Melde dich jetzt an und werde Teil der Iurlek - Noticias Seguridad-Community!