Iurlek - Noticias Seguridad

Top Vulnerabilidades Críticas 19-06-2026

12 min · 19. juni 2026
episode Top Vulnerabilidades Críticas 19-06-2026 cover

Description

cve-2026-10735 afecta a Google Chrome con ejecución remota de código debido a corrupción de memoria. Esta vulnerabilidad permite la ejecución arbitraria de código y se reporta explotación activa. cve-2026-55740 afecta a la aplicación bus-ticket con una inyección SQL crítica que permite a atacantes leer datos sensibles sin autenticación previa. La vulnerabilidad se basa en la concatenación insegura de parámetros en consultas a la base de datos ejecutadas como usuario root. cve-2026-28573 afecta a Google Android y permite un bloqueo persistente del sistema mediante denegación de servicio local. Esta vulnerabilidad destaca por su severidad crítica y la ausencia de necesidad de interacción para su explotación. cve-2026-55742 describe una vulnerabilidad crítica en Cotonti que permite la elevación de privilegios por CSRF. Esta falla afecta a la gestión de permisos en el panel administrativo, facilitando el control total por parte de un atacante. cve-2025-10560 expone credenciales críticas en los binarios del cliente Worksnaps permitiendo acceso a recursos sensibles en la nube y manipulación de datos confidenciales. Esta vulnerabilidad de alta gravedad exige atención inmediata para mitigar accesos indebidos. cve-2026-11717 describe una vulnerabilidad crítica en Google mcp toolbox que permite eludir la autenticación por un error en la validación de tokens opacos. Esta falla puede conceder acceso no autorizado a recursos protegidos sin necesidad de credenciales válidas. cve-2026-11718 presenta una vulnerabilidad crítica en Google mcp toolbox que permite eludir la autentificación debido a una validación incorrecta de tokens. Esta falla puede permitir acceso con tokens emitidos por proveedores no autorizados. cve-2026-54419 describe una vulnerabilidad crítica de inyección SQL en PIAF-HMS, un sistema de gestión hotelera. Esta falla permite a atacantes remotos sin autenticación modificar o eliminar datos sensibles. La peligrosidad se debe a la ausencia total de mecanismos de protección contra la inyección. cve-2026-8024 es una vulnerabilidad crítica en sistemas Siemens de supervisión industrial que permite la ejecución remota y control total sin autenticación. La falla reside en la deserialización de datos no confiables, con explotación activa confirmada. cve-2026-38714 afecta a dispositivos de comunicaciones industriales permitiendo la ejecución remota de comandos con privilegios de administrador. La vulnerabilidad es crítica y tiene explotación confirmada. cve-2026-38715 describe una falla de inyección de comandos en dispositivos de red industriales de InHand Networks, permitiendo ejecución remota con privilegios elevados. Esta vulnerabilidad es crítica por su alta severidad y explotación confirmada, constituyendo un riesgo grave para la seguridad de sistemas afectados. cve-2026-38716 describe una vulnerabilidad crítica de inyección de comandos en dispositivos industriales de InHand Networks. Permite a atacantes remotos ejecutar código con privilegios elevados. Es una falla grave que compromete la seguridad del sistema. cve-2026-54103 afecta a un sistema electrónico oficial y permite el cambio remoto de contraseñas sin autenticación previa. Esta falla crítica facilita el control no autorizado completo de cuentas, poniendo en riesgo la integridad y confidencialidad de usuarios. cve-2026-55203 afecta críticamente a HAProxy permitiendo ataques de desincronización en el procesamiento FastCGI. Provoca graves problemas de enrutamiento y manipulación de respuestas en entornos vulnerables. cve-2026-56020 permite la suplantación de identidad en Webmin mediante cabeceras HTTP falsificadas para saltarse la autenticación con certificados SSL. Esta vulnerabilidad crítica afecta al control de acceso en servidores Webmin. cve-2026-54390 describe una vulnerabilidad crítica de inyección en plantillas del lado servidor en JTL Shop que permite la ejecución remota de código y la exposición de credenciales sensibles. Esta falla impacta severamente la integridad y confidencialidad del sistema. cve-2026-47846 detalla una grave vulnerabilidad en Bitnami Cassandra container images que permite mantener un superusuario por defecto activo sin eliminar. Esta situación crea vías adicionales de acceso no autorizado con privilegios de administrador. cve-2026-49252 afecta a deepstream.io con una vulnerabilidad crítica de Prototype Pollution que permite la escalada de privilegios de usuarios autenticados. Esta vulnerabilidad ha sido explotada activamente y requiere actualización inmediata a la versión segura. cve-2026-49257 permite acceso total no autorizado a clústeres Apache Pinot mediante un servidor MCP sin autenticación. La vulnerabilidad afecta severamente la seguridad del sistema, exponiendo datos y operaciones críticas a atacantes remotos. cve-2026-49454 describe una vulnerabilidad crítica en Relyra que permite la aceptación de firmas SAML falsificadas, comprometiendo la autenticación. Esta falla se debe a una verificación incompleta de la firma digital, que impacta directamente en la seguridad del mecanismo de autenticación de esta biblioteca. cve-2026-47647 describe una vulnerabilidad crítica en Microsoft Dynamics 365 que permite la escalada de privilegios mediante un control de acceso incorrecto. Esta falla posibilita que un atacante autorizado aumente su nivel de acceso en la red, comprometiendo la seguridad del sistema. cve-2026-54130 afecta a Microsoft 365 Copilot con una grave vulnerabilidad que permite la divulgación de información sin autenticación. Esta falla compromete la confidencialidad de datos sensibles mediante la explotación remota. cve-2026-12045 permite la ejecución arbitraria de sentencias SQL en pgAdmin 4 mediante bypass en transacciones de solo lectura. Esta vulnerabilidad crítica afecta la integridad de la base de datos y puede llevar a ejecución remota de código bajo ciertos privilegios. cve-2026-12046 afecta a pgadmin 4 permitiendo ejecución remota de código sin autenticación previa. La vulnerabilidad se debe a la deserialización de datos no confiables y la falta de protección en rutas críticas. Esto supone un riesgo grave de compromiso del servidor donde se ejecuta la aplicación. cve-2026-12048 identifica una grave vulnerabilidad de cross-site scripting en pgAdmin 4, que permite a atacantes redirigir usuarios desde la propia interfaz a sitios de phishing. La explotación pasa por inyección de código HTML en mensajes de error generados por servidores PostgreSQL comprometidos o manipulados. cve-2026-40624 describe una ejecución remota de código crítica en cámaras de AVer por mala validación de entradas. Esta vulnerabilidad permite control total remoto sin autenticación.

Comments

0

Be the first to comment

Sign up now and become a member of the Iurlek - Noticias Seguridad community!

Get Started

1 month for 9 kr.

Then 99 kr. / month · Cancel anytime.

  • Podcasts kun på Podimo
  • 20 lydbogstimer pr. måned
  • Gratis podcasts

All episodes

100 episodes

episode Top Vulnerabilidades Críticas 14-07-2026 artwork

Top Vulnerabilidades Críticas 14-07-2026

cve-2008-4128 afecta a Cisco IOS Software permitiendo la ejecución remota de comandos mediante ataques de Cross Site Request Forgery. Esta vulnerabilidad es crítica y está siendo explotada activamente, poniendo en riesgo los dispositivos de red gestionados con este software. cve-2026-11964 es una vulnerabilidad crítica en el plugin User Registration & Membership de WordPress que permite activaciones fraudulentas de suscripciones pagadas mediante la falsificación de notificaciones de pago. La falla proviene de la falta de verificación de autenticidad en las comunicaciones recibidas. cve-2026-4769 afecta a dispositivos WAGO en la serie System I slash O Field permitiendo control total remoto sin autenticación. Esta vulnerabilidad crítica permite el acceso a procesos internos en la fase de arranque, comprometiendo completamente el sistema. cve-2026-14453 describe una inyección de template del lado servidor crítica en el módulo Centreon Open Tickets, que permite la ejecución remota de código y compromete la disponibilidad y seguridad de secretos en la plataforma Centreon. Esta vulnerabilidad requiere autenticación y afecta a sistemas de monitorización de infraestructuras. cve-2026-13014 es una vulnerabilidad crítica en la aplicación Suspicious de Thales que permite ejecución remota de código sin autenticación. Esta falla puede causar un denegación de servicio persistente y comprometer secretos y privilegios en el sistema. cve-2026-22093 afecta a EVbee Service en Android, permitiendo a un atacante interceptar y manipular comunicaciones por debilidades en la validación TLS y cifrado. La vulnerabilidad expone códigos de acceso a estaciones de carga, comprometiendo datos confidenciales. cve-2026-22095 describe una vulnerabilidad crítica de inyección de comandos en un servidor web que permite ejecución remota de código. Esta falla afecta directamente a la seguridad del sistema al permitir control completo por un atacante remoto. cve-2026-22096 expone un servidor web sin autenticación que permite la filtración de información y modificaciones no autorizadas. Esta vulnerabilidad es crítica por su alto impacto en la seguridad del sistema. cve-2026-22097 afecta mecanismos de actualización de firmware al permitir la ejecución remota de código sin validación de firma criptográfica. Esta falla crítica pone en riesgo la integridad y control total del dispositivo afectado. cve-2026-22098 expone información sensible por almacenamiento inseguro en archivos de registro, afectando a DivD software y comprometiendo la confidencialidad. cve-2026-22102 describe una vulnerabilidad crítica en un servidor web que permite la ejecución remota de código y la denegación de servicio mediante la manipulación del parámetro filename. Esta falla afecta la seguridad del sistema al permitir la sobreescritura de archivos sensibles desde peticiones POST. cve-2026-22103 es una vulnerabilidad crítica que permite la ejecución remota de código a través de inyección de comandos en servidores web NPC. Esta brecha representa un riesgo grave para la seguridad de sistemas afectados y requiere atención inmediata. cve-2026-41041 afecta a Apache Gravitino permitiendo inyección en rutas URL con explotación activa. Esta vulnerabilidad crítica permite ejecución remota y escalada de privilegios. La solución pasa por actualizar a la versión 1.2.1. cve-2026-57401 afecta a Brainstorm Force SureDash en un ataque de traversal que permite eliminar archivos arbitrarios. Esta vulnerabilidad es crítica y de alta gravedad. cve-2026-57702 afecta a un plugin de reservas para Wordpress con una grave inyección SQL ciega que permite manipulación y acceso no autorizado a datos. Esta vulnerabilidad es crítica y tiene explotación confirmada. cve-2026-57707 es una vulnerabilidad crítica en el plugin Simple Business Directory Pro para WordPress que permite la inyección SQL. Esta falla facilita ataques que pueden comprometer la base de datos y exponer información sensible. cve-2026-57710 afecta a Quantumcloud WoowBot Pro Max permitiendo la carga de archivos maliciosos que pueden derivar en ejecución remota de código. Esta vulnerabilidad crítica destaca por su severidad y facilidad de explotación activa. cve-2026-57714 es una vulnerabilidad crítica de inyección SQL ciega en el plugin LatePoint para WordPress, permitiendo acceso remoto no autorizado a la base de datos. Representa un riesgo severo debido a su explotación activa y alta puntuación CVSS. cve-2026-57719 afecta a un plugin en WordPress que permite la subida arbitraria de archivos peligrosos. Esto lleva a la ejecución remota de código y representa un riesgo crítico para los sitios afectados. cve-2026-57724 expone una crítica vulnerabilidad de inyección de objetos en el plugin Kirki para WordPress, que permite ejecución remota de código. Esta falla se debe a la deserialización insegura de datos no confiables. cve-2026-57726 afecta a Themeum Kirki con una vulnerabilidad crítica de inyección SQL a ciegas que puede comprometer los datos del sistema. Esta falla permite la explotación remota y es altamente peligrosa en entornos de Wordpress. cve-2026-57738 afecta a un tema de WordPress y permite la ejecución remota de código mediante inyección de objetos. Esta vulnerabilidad crítica pone en riesgo la seguridad completa del sitio web afectado. cve-2026-57739 permite una inyección SQL ciega en AcyMailing SMTP Newsletter. Esta vulnerabilidad crítica afecta la seguridad de bases de datos en plugins de WordPress. Se recomienda actualización inmediata para mitigar riesgos. cve-2026-57744 afecta un plugin de WordPress permitiendo ejecución remota de código mediante inyección de objetos por deserialización. Esta vulnerabilidad es altamente crítica con severidad 9.8, lo que requiere atención inmediata. cve-2026-57770 afecta al tema Grand Photography de WordPress. Permite ejecución remota de código mediante inyección de objetos. Es una vulnerabilidad crítica que exige atención inmediata. cve-2026-57811 afecta al plugin Realtyna Organic IDX para Wordpress, permitiendo la ejecución remota de código debido al manejo incorrecto en la generación de instrucciones. Esta falla tiene un impacto grave en la seguridad del sistema. cve-2026-57813 describe una vulnerabilidad crítica de escalada de privilegios en MailOptin, un plugin de WordPress. Permite a atacantes alcanzar privilegios elevados debido a una asignación inadecuada de permisos. cve-2026-59515 afecta a un plugin de WordPress permitiendo inyección SQL ciega con explotación activa confirmada. Esta vulnerabilidad crítica pone en riesgo la confidencialidad e integridad de datos en sistemas afectados. cve-2026-59518 es una vulnerabilidad crítica en Wordpress Directorist que permite la ejecución remota de código mediante inyección de objetos en datos deserializados. Esta falla puede ser explotada activamente para comprometer sistemas que usan este plugin. cve-2026-14934 afecta a plataformas de análisis y gestión de datos en la nube con una vulnerabilidad crítica de autorización ausente. Permite la escalada de privilegios y el control cruzado de repositorios entre usuarios. cve-2026-12257 es una vulnerabilidad crítica de ejecución remota de código en Mura CMS que permite a atacantes ejecutar código arbitrario en el servidor mediante un parámetro no validado. Esta falla representa un riesgo alto para la integridad y seguridad del sistema afectado. cve-2026-60121 es una vulnerabilidad crítica en Vitec Flamingo que permite la ejecución remota de comandos con privilegios elevados debido a un error en el tratamiento de los argumentos en el shell. Esta falla se manifiesta en un punto de entrada que no requiere autenticación, lo que la hace especialmente peligrosa. cve-2026-61498 describe una vulnerabilidad crítica en Vitec Flamingo que permite la ejecución remota de comandos con privilegios elevados sin autenticación. Esta falla se debe a la inyección de comandos en parámetros HTTP sin validación, presentando un riesgo serio para la seguridad del sistema. cve-2026-6847 permite la ejecución remota de código en ThemisNETPanel debido a falta de autenticación en la carga de archivos. Esta vulnerabilidad crítica permite a atacantes ejecutar código arbitrario en servidores afectados. cve-2026-61462 afecta a un módulo de GitLab permitiendo acceso no autorizado a la API mediante manipulación de rutas. La vulnerabilidad consiste en un recorrido de ruta explotado activamente para acceder a recursos restringidos con el token personal del operador. cve-2026-61500 expone un grave fallo en la generación de claves de sesión en Rejetto HFS, permitiendo la ejecución remota de código con privilegios administrativos. Esta vulnerabilidad destaca por su impacto crítico y explotación confirmada. cve-2026-6875 es una vulnerabilidad crítica de ejecución remota de código en la plataforma ServiceNow AI que permite a usuarios no autenticados ejecutar código arbitrario. Esta vulnerabilidad afecta directamente a la seguridad y disponibilidad del sistema y requiere la aplicación inmediata de actualizaciones. cve-2026-58409 es una vulnerabilidad crítica en ChurchCRM que permite la ejecución remota de código. Se explota mediante la instalación de plugins maliciosos con archivos PHP ejecutables. Esto compromete completamente la seguridad del servidor que aloja la aplicación. cve-2026-59801 afecta a Decolua 9Router, permitindo acceso sin autenticación a APIs de gestión, exposición de claves y denegación de servicio. Esta vulnerabilidad crítica permite control remoto total sobre conexiones de proveedores y tráfico. cve-2026-62327 describe una vulnerabilidad crítica en Decolua 9Router que expone claves API sin autenticación. Esto permite a atacantes remotos utilizar cuentas conectadas de inteligencia artificial sin restricciones, generando fraudes y agotamiento de recursos. cve-2026-27690 describe una vulnerabilidad crítica en SAP Approuter que permite la exposición de datos y la interrupción del servicio mediante HTTP Request Smuggling. Esta falla afecta gravemente la confidencialidad y disponibilidad del sistema afectado. cve-2026-44747 afecta SAP NetWeaver Application Server ABAP, con una grave corrupción de memoria que compromete la confidencialidad, integridad y disponibilidad. Esta vulnerabilidad es crítica y su explotación activa está confirmada, aumentando su riesgo y urgencia de mitigación. cve-2026-44761 describe una vulnerabilidad crítica en SAP Commerce Cloud que permite acceso no autorizado a través de credenciales preconfiguradas. Esta falla afecta gravemente la confidencialidad y la integridad de los datos en la plataforma de comercio electrónico.

Yesterday19 min