Top Vulnerabilidades Críticas 16-06-2026
cve-2018-25436 es una vulnerabilidad crítica en un plugin de WordPress que permite la ejecución remota de código mediante la subida de archivos maliciosos sin restricciones. Esta falla se debe a la ausencia de validaciones en el procesamiento de archivos enviados por usuarios no autenticados.
cve-2026-52704 afecta a WooCommerce PDF Invoice Builder y permite la ejecución remota de código, comprometiendo la seguridad total del sistema. Esta vulnerabilidad critica requiere atención inmediata debido a su alta gravedad y explotación activa.
cve-2026-9862 es una vulnerabilidad crítica en Fortra Core Privileged Access Manager que permite la ejecución remota de comandos con privilegios elevados. Esta falla expone a los sistemas a ataques desde la red mediante un servicio vulnerable.
cve-2026-48114 describe una vulnerabilidad crítica de inyección SQL en Metacat, que permite acceso completo a la base de datos sin autenticación. Esta falla se debe a la concatenación insegura de parámetros en consultas SQL, afectando la integridad y confidencialidad de los datos.
cve-2026-49952 es una vulnerabilidad crítica en Comsenz Discuz X que permite el acceso no autorizado al respaldo y restauración de bases de datos mediante bypass de autenticación. Esta falla aprovecha un fallo en la gestión de claves y condiciones de carrera para eludir restricciones de seguridad.
cve-2026-27053 afecta a un plugin de streaming en WordPress, permitiendo inyección remota de código sin necesidad de autenticación. La vulnerabilidad puede comprometer servidores y exponer sistemas al control no autorizado.
cve-2026-34901 describe una escalada de privilegios crítica en el plugin iControlWP para WordPress. Esta falla permite a atacantes sin autenticación obtener control total del sistema, representando un riesgo serio en sitios gestionados con este plugin.
cve-2026-39441 describe una inyección SQL no autenticada en Feed KuantoKusta para WooCommerce. Esta vulnerabilidad permite la manipulación remota de bases de datos y acceso sin autorización.
cve-2026-39465 afecta a MetaSlider y permite ejecución remota de código. Esta vulnerabilidad crítica pone en riesgo servidores al permitir ataques directos mediante manipulación de entradas. Es prioritaria la actualización inmediata para evitar compromisos de seguridad.
cve-2026-39492 expone una vulnerabilidad crítica en el plugin WP Maps para WordPress que permite inyección SQL sin necesidad de autenticación. Esto posibilita la manipulación y extracción no autorizada de datos, así como la ejecución remota de comandos en la base de datos. La explotación activa de esta falla eleva su prioridad de mitigación inmediata.
cve-2026-39493 afecta a un plugin de WordPress para citas, permitiendo una inyección SQL sin autenticar. Esto puede causar exposición y manipulación de datos.
cve-2026-39502 es una inyección SQL crítica en el plugin Form Maker de 10web para WordPress. Permite la ejecución remota de código y comprometido de la integridad de datos. Se trata de una vulnerabilidad sin autenticación que afecta directamente a bases de datos.
cve-2026-39511 afecta a WP Photo Album Plus, permitiendo inyección SQL sin autenticación. Esta vulnerabilidad crítica permite la manipulación de la base de datos y acceso no autorizado.
cve-2026-39512 afecta a GeoDirectory y permite inyección SQL no autenticada. Esta vulnerabilidad crítica compromete la base de datos y facilita la ejecución remota de código. La explotación activa hace esta amenaza especialmente grave.
cve-2026-39519 afecta al plugin GeekyBot de WordPress permitiendo inyección SQL sin autenticación que facilita la ejecución remota de código y robo de datos.
cve-2026-39530 afecta a un plugin de WordPress permitiendo inyección SQL sin autenticación. La vulnerabilidad pone en riesgo la integridad y confidencialidad de los datos.
cve-2026-39583 afecta a un plugin de comercio electrónico y permite la escalada de privilegios sin necesidad de autenticación, comprometiendo la seguridad completa del sistema. Esta vulnerabilidad es crítica y ha sido explotada activamente, lo que exige atención inmediata.
cve-2026-39591 afecta a un plugin popular de WordPress permitiendo la carga arbitraria de archivos que puede llevar a la ejecución remota de código. Esta vulnerabilidad es crítica y requiere atención urgente.
cve-2026-40771 afecta a un plugin de WordPress con una inyección SQL que permite acceso no autorizado a datos. La vulnerabilidad es crítica y se ha confirmado su explotación activa.
cve-2026-40772 detalla una vulnerabilidad crítica que permite la carga arbitraria de archivos en un plugin de WordPress, comprometiendo la seguridad y facilitando la ejecución remota de código.
cve-2026-40798 afecta al plugin wpForo Forum para WordPress con una inyección SQL no autenticada que permite el acceso y manipulación de la base de datos. Esta vulnerabilidad presenta una severidad crítica y existe explotación activa confirmada.
cve-2026-42381 afecta a FunnelKit Funnel Builder permitiendo una inyección SQL no autenticada que compromete la integridad y seguridad del sitio web. Esta vulnerabilidad crítica tiene explotación activa confirmada y riesgo alto de impacto negativo en sistemas afectados.
cve-2026-42386 presenta una vulnerabilidad crítica de inyección SQL en un plugin popular de WooCommerce que permite acceso no autorizado a datos sensibles. Esta falla permite explotación activa debido a la ausencia de autenticación en su manejo de entradas.
cve-2026-42639 afecta a un plugin popular de WordPress que gestiona valoraciones. Se trata de una inyección SQL sin necesidad de autenticación que compromete la base de datos y permite ejecución remota de código.
cve-2026-42665 afecta a un plugin de WordPress permitiendo inyección SQL sin autenticación. Esta vulnerabilidad crítica permite manipular bases de datos y extraer información sin permisos.
cve-2026-45439 describe una inyección SQL no autenticada que afecta al plugin Realtyna Organic IDX para WordPress. Esta vulnerabilidad permite acceso no autorizado y manipulación de datos en la base de datos debido a la falta de validación de entradas en versiones inferiores a la 5.1.0.
cve-2026-48836 afecta a Easy Invoice permitiendo ejecución remota de código sin autenticación. Esta falla crítica compromete la integridad y control del servidor afectado.
cve-2026-48881 afecta a TrueBooker permitiendo control de acceso roto sin autenticación. Esto permite a atacantes obtener y modificar información confidencial sin permisos.
cve-2026-48886 describe una vulnerabilidad crítica de inyección SQL en JS Help Desk que permite acceder y modificar datos sin autenticación. Este fallo afecta la seguridad de la base de datos y facilita ataques remotos con graves consecuencias.
cve-2026-49067 afecta a un plugin de WordPress con inyección SQL no autenticada que permite manipular datos en la base de datos. Esta vulnerabilidad destaca por su alta severidad y comprobada explotación activa que pone en riesgo la integridad y confidencialidad de la información.
cve-2026-49085 describe una vulnerabilidad crítica de inyección de objetos PHP en WP Insightly para varios plugins populares de formularios de contacto en WordPress. Esta falla permite la ejecución remota de código sin autenticación, representando un riesgo grave para la seguridad de los sitios afectados.
cve-2026-49104 expone una inyección de objetos PHP en un popular plugin de integración para WordPress, permitiendo ejecución remota de código. Esta vulnerabilidad afecta a múltiples plugins de formularios y presenta riesgo crítico para sitios con estos componentes.
cve-2026-49105 es una vulnerabilidad crítica en WP Zendesk for Contact Form 7 y otros plugins asociados que permite la ejecución remota de código mediante inyección de objetos PHP sin autenticación. Se recomienda aplicar parches de seguridad cuanto antes para evitar compromisos graves.
cve-2026-49106 afecta a un popular plugin de WordPress permitiendo ejecución remota de código por inyección de objetos PHP sin autenticación. Su gravedad crítica lo convierte en un riesgo inmediato para sistemas vulnerables.
cve-2026-49109 es una vulnerabilidad crítica de inyección de objeto PHP sin autenticación en un plugin de integración de formularios para WordPress. Permite la ejecución remota de código y ha sido explotada activamente en entornos vulnerables.
cve-2026-49763 afecta al plugin Integration for Contact Form 7 HubSpot para WordPress. Esta vulnerabilidad permite la ejecución remota de código debido a una inyección de objetos PHP sin autenticación en versiones vulnerables.
cve-2026-49764 afecta a un plugin de WordPress que permite registrar usuarios sin autenticación, comprometiendo la seguridad del sistema y el control de acceso.
cve-2026-49765 afecta a un plugin de WordPress permitiendo inyección de objeto PHP sin autenticación. Esta vulnerabilidad crítica posibilita la ejecución remota de código y el control del sistema a través de formularios integrados con Mailchimp. Es prioritaria para su mitigación y actualización urgente.
cve-2026-49766 afecta a un plugin de WordPress y permite la eliminación arbitraria de archivos. Esta vulnerabilidad es crítica y puede comprometer severamente la integridad del sistema.
cve-2026-49768 expone una grave inyección de objetos PHP en el plugin Happyforms de WordPress, permitiendo ejecución remota de código. Esta falla crítica debe ser corregida para evitar compromisos severos en servidores web que usen este plugin.
cve-2026-49769 afecta al plugin wpForo Forum para WordPress, permitiendo inyección de objetos PHP sin autenticación. Esta vulnerabilidad crítica posibilita la ejecución remota de código arbitrario con impacto severo.
cve-2026-49770 afecta a un plugin de WordPress permitiendo inyección de objetos PHP sin autenticación. Esto conlleva la ejecución remota de código en el entorno vulnerable, con un impacto crítico para la seguridad del servidor.
cve-2026-49776 afecta a un plugin de traducción automática para WordPress, permitiendo inyección SQL no autenticada que compromete datos sensibles. Esta vulnerabilidad es crítica y tiene explotación activa confirmada.
cve-2026-49781 afecta a OttoKit al permitir inyección de objetos en PHP sin autenticar, causando ejecución remota de código con alto riesgo.
cve-2026-52693 afecta a un plugin de WordPress y permite inyección SQL sin autenticación. Esta falla crítica permite ejecución remota y acceso a datos protegidos, representando un riesgo grave para sitios afectados.
cve-2026-52703 describe un recorrido de ruta sin autenticación en el plugin FastDup de WordPress que permite acceso no autorizado a archivos del sistema. La explotación está confirmada y afecta versiones hasta la 2.7.2.
cve-2026-9691 es una vulnerabilidad crítica de inyección de objetos PHP sin autenticación en un plugin de integración para WordPress que permite la ejecución remota de código. Este fallo afecta a múltiples plugins populares relacionados con formularios y campañas, elevando su riesgo en entornos web.
cve-2026-48713 afecta al sistema i18next-fs-backend con una vulnerabilidad crítica de contaminación de prototipos que permite la ejecución de código arbitrario y manipulación de objetos globales. La explotación activa de esta falla ha sido confirmada, requiriendo medidas de mitigación inmediatas.
cve-2026-48714 afecta a i18next-http-middleware con una vulnerabilidad crítica de contaminación remota del prototipo que permite corrupción y fallos en aplicaciones Node.js y Deno. Esta falla se explota activamente y requiere medidas de mitigación para evitar accesos no autorizados y filtración de claves peligrosas.
cve-2026-48853 afecta a la biblioteca elixir grpc con ejecución remota de código y denegación de servicio severa. Esta vulnerabilidad permite ataques no autenticados que comprometen la estabilidad y seguridad del servidor. Se recomienda actualizar a versiones corregidas para mitigar el riesgo.
