Iurlek - Noticias Seguridad

Top Vulnerabilidades Críticas 26-06-2026

12 min · 26 de jun de 2026
Portada del episodio Top Vulnerabilidades Críticas 26-06-2026

Descripción

cve-2026-12569 afecta a PTC Windchill and FlexPLM con una vulnerabilidad crítica en la validación de datos que permite ejecución remota de código. La explotación activa la convierte en una amenaza inmediata para los usuarios de este software de gestión del ciclo de vida del producto. cve-2024-41700 expone información sensible en Barix SIP Client Firmware permitiendo el acceso no autorizado. Esta vulnerabilidad crítica afecta la confidencialidad y tiene explotación activa confirmada. cve-2026-41566 afecta a Apache Kvrocks con una vulnerabilidad crítica de permisos insuficientes que permite escalada de privilegios. Se recomienda actualización para corregirla. cve-2026-46752 afecta a Apache Kvrocks con un desbordamiento crítico en la biblioteca cjson que permite ejecución remota de código. Es fundamental actualizar a una versión segura para evitar explotación activa de esta vulnerabilidad. cve-2026-41120 afecta a Dell Wyse Management Suite exponiendo a ejecución remota de código mediante datos no confiables aceptados junto a datos confiables. Esta falla crítica puede permitir a atacantes con acceso remoto controlar dispositivos gestionados. cve-2026-54823 afecta a un plugin de WordPress permitiendo ejecución remota de código. Esta vulnerabilidad es crítica con explotación confirmada, facilitando la toma total del sistema. cve-2026-54836 describe una inyección SQL crítica en el plugin YMC Filter para WordPress que permite ejecución remota de código y manipulación de datos. La explotación activa confirma el riesgo real para los sitios afectados. cve-2026-54843 expone una inyección SQL crítica en el plugin MDTF para WordPress, permitiendo acceso y manipulación de datos sin autenticación. Esta vulnerabilidad es altamente peligrosa dada su explotación activa. cve-2026-54849 afecta a Premmerce Wishlist for WooCommerce con una inyección SQL crítica no autenticada, que puede comprometer datos sensibles en la base de datos. Esta falla supone un riesgo alto para la seguridad de los sitios afectados. cve-2026-55413 describe una vulnerabilidad crítica en ToolJet que permite ejecución remota de código mediante la modificación maliciosa de plugins compartidos. Esta falla grave expone la plataforma a compromisos integrales del sistema. cve-2026-56123 describe una vulnerabilidad crítica en socat que permite un desbordamiento de memoria explotable remotamente. El fallo se produce por un error en el manejo del tamaño de nombre de dominio durante la conexión proxy, con riesgo de manipulación de memoria y posible ejecución remota de código. cve-2026-50548 describe una vulnerabilidad crítica en Cursor que permite ejecución remota de código fuera de la sandbox. La falla radica en la inadecuada validación del directorio de trabajo, comprometiendo la seguridad del sistema. cve-2026-50549 afecta a Cursor y permite ejecución remota de código al escribir fuera del espacio de trabajo sin aprobación, comprometiendo el sistema del usuario. Es una vulnerabilidad crítica que facilita ataques no sandboxeados y requiere atención inmediata. cve-2026-54088 afecta a File Browser y permite la ejecución remota de código mediante inyección en comandos de autenticación sin necesidad de acceso previo. Esta vulnerabilidad es crítica y explotada activamente, representando un riesgo severo para la seguridad de los sistemas afectados. cve-2026-54089 afecta a FileBrowser, permitiendo la suplantación de identidad y la creación no autorizada de cuentas sin credenciales. Esta vulnerabilidad crítica expone el control total del sistema a atacantes remotos. cve-2026-56786 afecta a RTKLIB con un desbordamiento de buffer que permite ejecución remota de código y denegación de servicio mediante mensajes manipulados en flujos de corrección. Esta vulnerabilidad crítica es explotada en entornos reales. cve-2026-57700 afecta al plugin OMGF Pro para Wordpress, permitiendo la subida sin control de archivos maliciosos que comprometen el servidor. La vulnerabilidad deriva en ejecución remota de código y control total del sistema afectado. cve-2025-71327 describe una vulnerabilidad crítica en Flowise que permite a atacantes remotos eludir la autenticación mediante un endpoint de registro desprotegido. Esto permite la creación de cuentas falsas y acceso completo a la API sin credenciales. cve-2025-71333 afecta a Flowise y permite la subida arbitraria de archivos sin autenticación, con riesgo de ejecución remota de código y toma de control. Esta vulnerabilidad es crítica y su explotación ha sido confirmada. cve-2025-71334 afecta a Flowise y permite la ejecución remota de código mediante acceso y escritura arbitraria de archivos. Esta vulnerabilidad crítica se aprovecha de la falta de validación en parámetros de entrada en endpoints específicos del framework. cve-2025-71336 afecta a Flowise con ejecución remota de código debido a ausencia de sandbox y controles de acceso. La vulnerabilidad permite el control total del servidor o contenedor donde se despliega la plataforma. cve-2025-71338 expone una grave vulnerabilidad en Flowise que permite la ejecución remota de código mediante un recorrido de ruta en parámetros no validados. Esta falla crítica afecta la integridad del sistema y ha sido explotada activamente. cve-2026-40702 afecta a sistemas de gestión de estaciones de carga por falta de autenticación en WebSocket. Permite acceso no autorizado y escalada de privilegios. La explotación es activa y crítica. cve-2026-9222 permite acceso total a la aplicación Setracker2 sin necesidad de la contraseña original. La falla se debe a un fallo en el manejo del hash de autenticación, lo que facilita la autenticación no autorizada. Esto representa un riesgo crítico para la seguridad de los dispositivos afectados.

Comentarios

0

Sé la primera persona en comentar

¡Regístrate ahora y únete a la comunidad de Iurlek - Noticias Seguridad!

Empezar

2 meses por 1 €

Después 4,99 € / mes · Cancela cuando quieras.

  • Podcasts exclusivos
  • 20 horas de audiolibros / mes
  • Podcast gratuitos

Todos los episodios

100 episodios

Portada del episodio Top Vulnerabilidades Críticas 16-07-2026

Top Vulnerabilidades Críticas 16-07-2026

cve-2023-4346 afecta a un protocolo de automatización de edificios y permite denegación de servicio mediante un bloqueo excesivo de cuentas. Esta vulnerabilidad está siendo explotada activamente y representa un riesgo crítico para sistemas que dependen de este protocolo. cve-2026-56400 permite la ejecución remota de código en Open Web UI debido a una configuración incorrecta de CORS que posibilita solicitudes maliciosas autenticadas. Esta falla permite a atacantes controlar completamente instancias afectadas con sólo atraer a un administrador a un sitio web manipulado. cve-2026-56699 afecta a Wazuh Manager permitiendo inyección de operaciones maliciosas en solicitudes bulk que conduce a manipulación crítica del sistema de seguridad. Esta vulnerabilidad tiene explotación activa confirmada y alta severidad. cve-2026-61451 afecta a Grav API plugin permitiendo la divulgacion de tokens de restablecimiento de contrasena y el secuestro completo de cuentas. La vulnerabilidad se basa en la falta de validacion del origen de la URL suministrada para restablecimiento. Es critica y de explotacion activa confirmada. cve-2026-42533 afecta a NGINX Plus y NGINX Open Source con una vulnerabilidad crítica que permite denegación de servicio y posible ejecución remota de código. Esta falla reside en el manejo incorrecto de variables en directivas map con expresiones regulares. La explotación aprovecha peticiones HTTP maliciosas para comprometer la estabilidad y seguridad del servidor. cve-2026-61736 afecta a LightRAG y permite explotación remota por configuración insegura de CORS, poniendo en riesgo datos y control del sistema. Esta vulnerabilidad es crítica por la capacidad de ataques autenticados desde sitios maliciosos. cve-2026-61740 afecta a LightRAG permitiendo acceso remoto sin autenticación a funciones protegidas, lo que compromete la integridad y confidencialidad de datos. Esta vulnerabilidad crítica debe ser parcheada para evitar explotación. cve-2026-44986 afecta a Penpot y permite la toma de control de perfiles sin verificación de contraseña, representando un grave riesgo para la integridad de las cuentas. La actualización a la versión segura cierra esta vulnerabilidad crítica. cve-2026-50148 permite la ejecución remota de código en Metabase mediante la explotación del controlador Snowflake. Un usuario con permisos para modificar conexiones de bases de datos puede comprometer el servidor completo. Esta falla de severidad crítica requiere actualización inmediata de la herramienta. cve-2026-52842 afecta a Lightpanda, permitiendo un bypass crítico de la política del mismo origen. Esta falla permite que un atacante ejecute código malicioso como si fuera otro dominio. cve-2026-52843 afecta a Lightpanda y permite ataques de solicitudes autenticadas cruzadas debido a un mal manejo de cookies de sesión. Esta vulnerabilidad permite acceder y manipular recursos protegidos de otros orígenes bajo la sesión del usuario afectado. cve-2026-62378 afecta a RustFS Console con una vulnerabilidad crítica que permite ejecución de código y exposición de credenciales administrativas. Esto pone en riesgo el control y la seguridad del sistema distribuido RustFS. La vulnerabilidad ya ha sido corregida en la versión actualizada. cve-2026-50562 afecta a la plataforma de inteligencia artificial FastGPT, permitiendo la explotación activa para la ejecución arbitraria de código a través de artefactos maliciosos en workflows de GitHub. Esta falla crítica permite acceso a secretos y la ejecución de imágenes Docker controladas por atacantes. cve-2026-53512 afecta a Better Auth permitiendo a atacantes usar refresh tokens para obtener acceso no autorizado mediante endpoints OAuth. Esta falla crítica compromete la autenticación al no verificar correctamente el client secret en ciertas configuraciones. cve-2026-53513 afecta a Better Auth y permite ataques remotos mediante falsificación de solicitudes del lado servidor, comprometiendo la seguridad de la autenticación OIDC. Esta vulnerabilidad es crítica y ya tiene explotación confirmada. cve-2026-62948 afecta a dispositivos con sistema operativo OpenWrt en la gestión DHCPv6 permitiendo ejecución de código malicioso mediante inyección en la interfaz web. Esta vulnerabilidad es crítica y se encuentra activamente explotada. cve-2026-46421 afecta a paquetes de base de datos SQL en cap-js, permitiendo la exfiltración masiva de credenciales y propagación maliciosa. Representa un riesgo crítico con explotación activa confirmada, exigiendo actualización y rotación inmediata de credenciales. cve-2026-45534 afecta a DataEase y permite ejecución remota de código vía configuración maliciosa en conexiones Redshift. Esta falla critica compromete integridad y seguridad en el acceso a bases de datos. Se recomienda actualizar a la versión corregida para mitigar el riesgo. cve-2026-46684 afecta a DataEase y permite la aceptación de tokens falsificados, comprometiendo la autenticación y autorización. Esta falla crítica de validación de tokens representa un riesgo grave para la seguridad del sistema. cve-2026-49445 describe una vulnerabilidad crítica en Cilium que permite acceso no autorizado a funciones administrativas y secretos sensibles, afectando la seguridad del tráfico en clústeres. Esta falla pone en riesgo la integridad y disponibilidad del sistema. cve-2026-46339 afecta a 9Router permitiendo la ejecución remota de comandos mediante registro no autenticado de plugins. Esta vulnerabilidad crítica posibilita la ejecución arbitraria de código y compromete la integridad del sistema. cve-2026-49352 expone una vulnerabilidad crítica en el router AI 9Router, donde una clave secreta por defecto permite falsificar tokens de autenticación. Esta falla permite un riesgo elevado de suplantación de usuarios. cve-2026-52887 afecta a la plataforma NocoBase y permite la ejecución remota de código mediante inyección SQL sin escape. Esta vulnerabilidad crítica permite el control total del sistema afectado y la ejecución de comandos arbitrarios. cve-2026-54052 expone una vulnerabilidad crítica de aislamiento en n8n mcp que permite a usuarios autenticados acceder y eliminar datos de otros usuarios. Esta falla puede comprometer la integridad y confidencialidad de la información en entornos multiusuario. cve-2026-52891 permite la ejecución remota de comandos mediante manipulación de nombres de archivo en Wekan. Esta vulnerabilidad crítica afecta la seguridad del servidor y está explotada activamente, requiriendo actualización inmediata a la versión segura. cve-2026-52893 afecta a Wekan y permite la fusión insegura de credenciales OIDC, posibilitando el acceso no autorizado a cuentas de usuarios. Esta vulnerabilidad crítica permite a un atacante tomar el control de cuentas mediante la suplantación de identidad vía OIDC sin verificación adecuada. cve-2026-54458 afecta a la plataforma WWBN AVideo y permite la ejecución remota de código malicioso en el contexto de administradores. Se confirma la explotación activa que puede derivar en la toma total del control administrativo del sistema a través del plugin YPTSocket. Es una vulnerabilidad crítica por la falta de validación de entradas en conexiones WebSocket. cve-2026-55445 afecta a la plataforma Qinglong permitiendo la reconfiguración no autorizada de credenciales administrativas mediante un endpoint no protegido. La vulnerabilidad se debe a una gestión incorrecta de rutas que omite la autenticación en ciertos accesos críticos. cve-2026-55652 afecta a Wekan. Permite a un atacante obtener un token de sesión sin autenticación, incluyendo acceso a cuentas de administrador. Es una vulnerabilidad crítica y explotada activamente basada en la manipulación de cabeceras HTTP.

16 de jul de 202615 min
Portada del episodio Top Vulnerabilidades Críticas 15-07-2026

Top Vulnerabilidades Críticas 15-07-2026

cve-2026-62392 afecta a Apache Kylin permitiendo inyección de comandos y ejecución remota. La vulnerabilidad es crítica y debe aplicarse la actualización. cve-2025-12011 afecta a controladores industriales Rockwell Automation y provoca denegación de servicio total mediante proyectos maliciosos. Es una vulnerabilidad crítica con alta severidad y explotación remota confirmada. cve-2025-12012 es una vulnerabilidad crítica en controladores industriales de Rockwell Automation que permite denegación de servicio mediante datos corruptos. Esta falla grave afecta la disponibilidad del sistema y puede causar fallos permanentes. cve-2026-15265 afecta a Tenable Agent con una vulnerabilidad crítica de ejecución remota de código mediante recorrido de ruta que permite la escritura arbitraria de archivos fuera del directorio previsto. cve-2026-58479 expone una ejecución remota de comandos crítica en Sustainable Irrigation Platform. Esta falla permite el acceso no autorizado total mediante un plugin opcional vulnerable en la plataforma de riego. Impacta directamente la integridad y control del sistema afectado. cve-2025-11698 es una vulnerabilidad crítica en firmware de controladores industriales Rockwell Automation que permite a un atacante provocar una denegación de servicio total e irreversible. cve-2026-55954 describe una vulnerabilidad crítica en ueberauth_apple que permite la suplantación de identidad mediante tokens no validados. La ausencia de comprobaciones clave como la expiración y audiencia facilita la toma de control de cuentas entre aplicaciones que comparten el mismo equipo de desarrollo. cve-2026-42990 permite la ejecución remota de código en Microsoft SQL Server. La vulnerabilidad radica en un desbordamiento de búfer en el driver ODBC, lo que facilita el acceso sin autorización. cve-2026-48561 describe una grave vulnerabilidad en Microsoft Copilot que permite la ejecución remota de código mediante inyección de comandos. Esta falla compromete la integridad y seguridad del sistema afectado con un impacto crítico. cve-2026-49172 posee explotación activa confirmada por ejecución remota de código en Windows FTP Service, causada por un desbordamiento de buffer en el heap. Esta vulnerabilidad afecta sistemas Windows y compromete la integridad y seguridad. cve-2026-49798 describe una vulnerabilidad crítica en el núcleo de Windows que permite la elevación de privilegios local. Esta falla compromete la seguridad al permitir que atacantes escalen sus derechos y tomen control del sistema. cve-2026-50522 afecta a Microsoft Office SharePoint permitiendo ejecución remota de código mediante datos no confiables. Esta vulnerabilidad crítica puede dar control total a un atacante en el sistema afectado. cve-2026-54990 afecta a Microsoft Remote Desktop Client con un desbordamiento de búfer en el montón que permite la ejecución remota de código sin autorización. Esta vulnerabilidad es crítica con explotación activa confirmada, lo que la convierte en una amenaza urgente para los sistemas afectados. cve-2026-55008 describe una vulnerabilidad crítica de cross-site scripting en Microsoft Exchange Server que permite suplantación de identidad en red. Esta falla afecta la neutralización de entradas en la generación de páginas web, exponiendo a ataques activos. cve-2026-58644 es una vulnerabilidad crítica en Microsoft Office SharePoint que permite la ejecución remota de código debido a la deserialización de datos no confiables. Esto representa un riesgo alto para la seguridad de las redes en las que está desplegado el producto. cve-2026-59891 afecta a la biblioteca JavaScript sigstore-js con una vulnerabilidad crítica que permite la divulgación de credenciales por coincidencia incorrecta de host en Docker. Esto puede resultar en el envío de credenciales a registros no autorizados y representa un riesgo severo para la seguridad de los sistemas. cve-2026-50380 afecta al componente gráfico de Windows y permite la ejecución remota de código mediante un desbordamiento de búfer. Esta falla crítica pone en riesgo la integridad y seguridad del sistema operativo. cve-2026-50447 es una vulnerabilidad crítica de ejecución remota de código en Microsoft Windows Message Queuing. Permite a un atacante no autorizado ejecutar código a través de la red debido a un desbordamiento de búfer basado en montón. La explotación activa confirma su gravedad elevada. cve-2026-50518 describe un fallo crítico en Windows DHCP Server que permite la ejecución remota de código por desbordamiento de búfer en el heap. Esta vulnerabilidad es altamente severa y está siendo activamente explotada, representando un riesgo grave para la seguridad de redes. cve-2026-55010 afecta a Microsoft Minecraft Bedrock Dedicated Server con un desbordamiento de búfer que permite la ejecución remota de código sin autenticación. Es una vulnerabilidad crítica con explotación activa confirmada que pone en riesgo servidores de juegos en red. cve-2026-55040 describe una autenticación débil en Microsoft Office SharePoint permitiendo acceso no autorizado. Esta vulnerabilidad es crítica y puede ser explotada remotamente para evadir controles de seguridad. cve-2026-55944 permite la ejecución remota de código en Microsoft Dynamics NAV debido a la deserialización insegura de datos. Esta vulnerabilidad crítica expone al sistema a ataques remotos que comprometen su integridad y seguridad. cve-2026-56159 afecta al servidor DHCP de Windows con una vulnerabilidad crítica que permite la ejecución remota de código. Esta falla grave se debe a un desbordamiento de búfer en el montón que compromete la seguridad del sistema. Es fundamental abordar esta vulnerabilidad para proteger redes e infraestructuras. cve-2026-56188 es una vulnerabilidad crítica en el controlador de red de Windows Server que permite la ejecución remota de código por una condición de carrera. Esta falla afecta componentes esenciales de la red y podría comprometer sistemas empresariales. cve-2026-56190 afecta a Windows Remote Desktop Protocol permitiendo ejecución remota de código con control total del sistema. La vulnerabilidad es crítica y su explotación activa está confirmada, lo que representa un riesgo elevado para sistemas afectados. cve-2026-57092 afecta a Microsoft Windows VMSwitch, permitiendo la elevación de privilegios a través de la red mediante una vulnerabilidad de uso después de liberación. Su severidad crítica y explotación activa la convierten en una amenaza prioritaria. cve-2026-45063 afecta a Symfony Framework permitiendo suplantación de identidad por un fallo en la autenticación basada en certificados X509. Esta vulnerabilidad es crítica con un alto impacto en la seguridad de aplicaciones que usan este framework. cve-2026-13001 afecta a un plugin de WordPress permitiendo la carga arbitraria de archivos y la ejecución remota de código. Esta vulnerabilidad es crítica y explotada activamente, poniendo en riesgo la integridad del servidor donde se instala el plugin. cve-2026-48259 afecta a Adobe Experience Manager y permite la ejecución remota de código mediante solicitudes fraudulentas del servidor. Esta vulnerabilidad crítica no requiere interacción del usuario y puede dar lugar a un control elevado sobre la aplicación. cve-2026-48356 describe una falla crítica que permite la ejecución arbitraria de código en Adobe Commerce mediante la carga de archivos peligrosos sin restricción. Esta vulnerabilidad requiere interacción del usuario para su explotación y puede comprometer la cuenta o sesión del usuario afectado. cve-2026-48358 es una vulnerabilidad crítica en Adobe Commerce que permite la ejecución remota de código sin interacción del usuario. Esta falla se debe a un manejo incorrecto en la codificación o escape de la salida. cve-2026-48359 afecta a Adobe Experience Manager con una vulnerabilidad crítica que permite la ejecución remota de código y acceso a archivos sensibles sin necesidad de interacción. Este fallo compromete la integridad y confidencialidad del sistema, pudiendo ser explotado por atacantes con bajos privilegios. cve-2026-53633 describe una vulnerabilidad crítica en Vitest Browser Mode que permite la ejecución remota de código mediante la manipulación del protocolo Chrome DevTools. La falla afecta directamente a la seguridad del entorno de pruebas y ha sido confirmada su explotación activa. La solución está disponible en las últimas versiones del producto. cve-2026-15643 describe una vulnerabilidad crítica en el servidor Amazon AWS HealthLake MCP que permite la exfiltración de credenciales de seguridad mediante falsificación de solicitudes. Este fallo afecta a la paginación y puede ser explotado por usuarios autenticados para redirigir peticiones a servidores controlados por el atacante. cve-2026-15773 expone a Google Chrome a una vulnerabilidad crítica que permite a atacantes remotos escapar del sandbox y ejecutar código. La falla se debe a un error de uso después de liberar memoria, afectando a procesadores de contenido web. cve-2026-48284 afecta a Adobe ColdFusion permitiendo ejecución remota de código debido a una validación incorrecta de entradas. Esta vulnerabilidad es crítica y explotable sin interacción del usuario. cve-2026-48318 afecta a Adobe ColdFusion permitiendo la lectura arbitraria de archivos mediante recorrido de directorios. La vulnerabilidad es crítica con alta puntuación de severidad y explotación confirmada. cve-2026-48319 afecta a Adobe ColdFusion permitiendo ejecución arbitraria de código mediante salto de ruta, sin interacción del usuario y con alta severidad. Esta vulnerabilidad es crítica y explotable activamente, representando un riesgo grave para la seguridad del servidor y las aplicaciones alojadas. cve-2026-48321 describe una vulnerabilidad crítica de autorización en Adobe ColdFusion que permite la escalada de privilegios y el acceso no autorizado a datos. Esta falla representa un riesgo grave para sistemas que utilizan este servidor de aplicaciones. cve-2026-48322 afecta a Adobe ColdFusion, permitiendo ejecución arbitraria de código sin necesidad de interacción del usuario. Esta vulnerabilidad es crítica y presenta un riesgo alto para los sistemas afectados. cve-2026-48324 describe una vulnerabilidad crítica de inyección SQL en Adobe ColdFusion que permite la ejecución remota de código sin necesidad de interacción del usuario. Esta falla pone en riesgo sistemas que utilizan esta plataforma para desarrollo web por su severidad y facilidad de explotación. cve-2026-48325 afecta a Adobe ColdFusion permitiendo ejecución arbitraria de código sin necesidad de interacción. Esta vulnerabilidad crítica explota la ausencia de autenticación en funciones sensibles, poniendo en riesgo sistemas y datos. cve-2026-48327 afecta a Adobe ColdFusion permitiendo la ejecución arbitraria de código debido a un fallo en la autorización. Esta vulnerabilidad es crítica y puede ser explotada sin necesidad de interacción del usuario. cve-2026-53486 es una vulnerabilidad crítica en decompress de XhmikosR que permite la creación de archivos y enlaces fuera del directorio de extracción original. Esto posibilita la ejecución arbitraria de archivos con impacto severo para la seguridad del sistema. cve-2026-45363 afecta a la biblioteca ruby jwt y permite la aceptación de tokens falsificados debido a una falla en la verificación de firmas HMAC. Esta vulnerabilidad crítica compromete la autenticidad de los tokens JSON Web en aplicaciones que usan esta biblioteca. cve-2026-48334 afecta a Adobe Illustrator permitiendo ejecución arbitraria de código mediante archivos maliciosos. Se trata de una vulnerabilidad crítica con explotación activa confirmada que compromete la integridad del sistema y la seguridad del usuario. cve-2026-13385 describe una vulnerabilidad crítica en routers ASUS que permite la ejecución remota de código debido a fallos en la validación de certificados y valores de integridad, facilitando ataques man-in-the-middle. Esta vulnerabilidad pone en riesgo la seguridad completa del dispositivo y la red conectada.

Ayer21 min
Portada del episodio Top Vulnerabilidades Críticas 14-07-2026

Top Vulnerabilidades Críticas 14-07-2026

cve-2008-4128 afecta a Cisco IOS Software permitiendo la ejecución remota de comandos mediante ataques de Cross Site Request Forgery. Esta vulnerabilidad es crítica y está siendo explotada activamente, poniendo en riesgo los dispositivos de red gestionados con este software. cve-2026-11964 es una vulnerabilidad crítica en el plugin User Registration & Membership de WordPress que permite activaciones fraudulentas de suscripciones pagadas mediante la falsificación de notificaciones de pago. La falla proviene de la falta de verificación de autenticidad en las comunicaciones recibidas. cve-2026-4769 afecta a dispositivos WAGO en la serie System I slash O Field permitiendo control total remoto sin autenticación. Esta vulnerabilidad crítica permite el acceso a procesos internos en la fase de arranque, comprometiendo completamente el sistema. cve-2026-14453 describe una inyección de template del lado servidor crítica en el módulo Centreon Open Tickets, que permite la ejecución remota de código y compromete la disponibilidad y seguridad de secretos en la plataforma Centreon. Esta vulnerabilidad requiere autenticación y afecta a sistemas de monitorización de infraestructuras. cve-2026-13014 es una vulnerabilidad crítica en la aplicación Suspicious de Thales que permite ejecución remota de código sin autenticación. Esta falla puede causar un denegación de servicio persistente y comprometer secretos y privilegios en el sistema. cve-2026-22093 afecta a EVbee Service en Android, permitiendo a un atacante interceptar y manipular comunicaciones por debilidades en la validación TLS y cifrado. La vulnerabilidad expone códigos de acceso a estaciones de carga, comprometiendo datos confidenciales. cve-2026-22095 describe una vulnerabilidad crítica de inyección de comandos en un servidor web que permite ejecución remota de código. Esta falla afecta directamente a la seguridad del sistema al permitir control completo por un atacante remoto. cve-2026-22096 expone un servidor web sin autenticación que permite la filtración de información y modificaciones no autorizadas. Esta vulnerabilidad es crítica por su alto impacto en la seguridad del sistema. cve-2026-22097 afecta mecanismos de actualización de firmware al permitir la ejecución remota de código sin validación de firma criptográfica. Esta falla crítica pone en riesgo la integridad y control total del dispositivo afectado. cve-2026-22098 expone información sensible por almacenamiento inseguro en archivos de registro, afectando a DivD software y comprometiendo la confidencialidad. cve-2026-22102 describe una vulnerabilidad crítica en un servidor web que permite la ejecución remota de código y la denegación de servicio mediante la manipulación del parámetro filename. Esta falla afecta la seguridad del sistema al permitir la sobreescritura de archivos sensibles desde peticiones POST. cve-2026-22103 es una vulnerabilidad crítica que permite la ejecución remota de código a través de inyección de comandos en servidores web NPC. Esta brecha representa un riesgo grave para la seguridad de sistemas afectados y requiere atención inmediata. cve-2026-41041 afecta a Apache Gravitino permitiendo inyección en rutas URL con explotación activa. Esta vulnerabilidad crítica permite ejecución remota y escalada de privilegios. La solución pasa por actualizar a la versión 1.2.1. cve-2026-57401 afecta a Brainstorm Force SureDash en un ataque de traversal que permite eliminar archivos arbitrarios. Esta vulnerabilidad es crítica y de alta gravedad. cve-2026-57702 afecta a un plugin de reservas para Wordpress con una grave inyección SQL ciega que permite manipulación y acceso no autorizado a datos. Esta vulnerabilidad es crítica y tiene explotación confirmada. cve-2026-57707 es una vulnerabilidad crítica en el plugin Simple Business Directory Pro para WordPress que permite la inyección SQL. Esta falla facilita ataques que pueden comprometer la base de datos y exponer información sensible. cve-2026-57710 afecta a Quantumcloud WoowBot Pro Max permitiendo la carga de archivos maliciosos que pueden derivar en ejecución remota de código. Esta vulnerabilidad crítica destaca por su severidad y facilidad de explotación activa. cve-2026-57714 es una vulnerabilidad crítica de inyección SQL ciega en el plugin LatePoint para WordPress, permitiendo acceso remoto no autorizado a la base de datos. Representa un riesgo severo debido a su explotación activa y alta puntuación CVSS. cve-2026-57719 afecta a un plugin en WordPress que permite la subida arbitraria de archivos peligrosos. Esto lleva a la ejecución remota de código y representa un riesgo crítico para los sitios afectados. cve-2026-57724 expone una crítica vulnerabilidad de inyección de objetos en el plugin Kirki para WordPress, que permite ejecución remota de código. Esta falla se debe a la deserialización insegura de datos no confiables. cve-2026-57726 afecta a Themeum Kirki con una vulnerabilidad crítica de inyección SQL a ciegas que puede comprometer los datos del sistema. Esta falla permite la explotación remota y es altamente peligrosa en entornos de Wordpress. cve-2026-57738 afecta a un tema de WordPress y permite la ejecución remota de código mediante inyección de objetos. Esta vulnerabilidad crítica pone en riesgo la seguridad completa del sitio web afectado. cve-2026-57739 permite una inyección SQL ciega en AcyMailing SMTP Newsletter. Esta vulnerabilidad crítica afecta la seguridad de bases de datos en plugins de WordPress. Se recomienda actualización inmediata para mitigar riesgos. cve-2026-57744 afecta un plugin de WordPress permitiendo ejecución remota de código mediante inyección de objetos por deserialización. Esta vulnerabilidad es altamente crítica con severidad 9.8, lo que requiere atención inmediata. cve-2026-57770 afecta al tema Grand Photography de WordPress. Permite ejecución remota de código mediante inyección de objetos. Es una vulnerabilidad crítica que exige atención inmediata. cve-2026-57811 afecta al plugin Realtyna Organic IDX para Wordpress, permitiendo la ejecución remota de código debido al manejo incorrecto en la generación de instrucciones. Esta falla tiene un impacto grave en la seguridad del sistema. cve-2026-57813 describe una vulnerabilidad crítica de escalada de privilegios en MailOptin, un plugin de WordPress. Permite a atacantes alcanzar privilegios elevados debido a una asignación inadecuada de permisos. cve-2026-59515 afecta a un plugin de WordPress permitiendo inyección SQL ciega con explotación activa confirmada. Esta vulnerabilidad crítica pone en riesgo la confidencialidad e integridad de datos en sistemas afectados. cve-2026-59518 es una vulnerabilidad crítica en Wordpress Directorist que permite la ejecución remota de código mediante inyección de objetos en datos deserializados. Esta falla puede ser explotada activamente para comprometer sistemas que usan este plugin. cve-2026-14934 afecta a plataformas de análisis y gestión de datos en la nube con una vulnerabilidad crítica de autorización ausente. Permite la escalada de privilegios y el control cruzado de repositorios entre usuarios. cve-2026-12257 es una vulnerabilidad crítica de ejecución remota de código en Mura CMS que permite a atacantes ejecutar código arbitrario en el servidor mediante un parámetro no validado. Esta falla representa un riesgo alto para la integridad y seguridad del sistema afectado. cve-2026-60121 es una vulnerabilidad crítica en Vitec Flamingo que permite la ejecución remota de comandos con privilegios elevados debido a un error en el tratamiento de los argumentos en el shell. Esta falla se manifiesta en un punto de entrada que no requiere autenticación, lo que la hace especialmente peligrosa. cve-2026-61498 describe una vulnerabilidad crítica en Vitec Flamingo que permite la ejecución remota de comandos con privilegios elevados sin autenticación. Esta falla se debe a la inyección de comandos en parámetros HTTP sin validación, presentando un riesgo serio para la seguridad del sistema. cve-2026-6847 permite la ejecución remota de código en ThemisNETPanel debido a falta de autenticación en la carga de archivos. Esta vulnerabilidad crítica permite a atacantes ejecutar código arbitrario en servidores afectados. cve-2026-61462 afecta a un módulo de GitLab permitiendo acceso no autorizado a la API mediante manipulación de rutas. La vulnerabilidad consiste en un recorrido de ruta explotado activamente para acceder a recursos restringidos con el token personal del operador. cve-2026-61500 expone un grave fallo en la generación de claves de sesión en Rejetto HFS, permitiendo la ejecución remota de código con privilegios administrativos. Esta vulnerabilidad destaca por su impacto crítico y explotación confirmada. cve-2026-6875 es una vulnerabilidad crítica de ejecución remota de código en la plataforma ServiceNow AI que permite a usuarios no autenticados ejecutar código arbitrario. Esta vulnerabilidad afecta directamente a la seguridad y disponibilidad del sistema y requiere la aplicación inmediata de actualizaciones. cve-2026-58409 es una vulnerabilidad crítica en ChurchCRM que permite la ejecución remota de código. Se explota mediante la instalación de plugins maliciosos con archivos PHP ejecutables. Esto compromete completamente la seguridad del servidor que aloja la aplicación. cve-2026-59801 afecta a Decolua 9Router, permitindo acceso sin autenticación a APIs de gestión, exposición de claves y denegación de servicio. Esta vulnerabilidad crítica permite control remoto total sobre conexiones de proveedores y tráfico. cve-2026-62327 describe una vulnerabilidad crítica en Decolua 9Router que expone claves API sin autenticación. Esto permite a atacantes remotos utilizar cuentas conectadas de inteligencia artificial sin restricciones, generando fraudes y agotamiento de recursos. cve-2026-27690 describe una vulnerabilidad crítica en SAP Approuter que permite la exposición de datos y la interrupción del servicio mediante HTTP Request Smuggling. Esta falla afecta gravemente la confidencialidad y disponibilidad del sistema afectado. cve-2026-44747 afecta SAP NetWeaver Application Server ABAP, con una grave corrupción de memoria que compromete la confidencialidad, integridad y disponibilidad. Esta vulnerabilidad es crítica y su explotación activa está confirmada, aumentando su riesgo y urgencia de mitigación. cve-2026-44761 describe una vulnerabilidad crítica en SAP Commerce Cloud que permite acceso no autorizado a través de credenciales preconfiguradas. Esta falla afecta gravemente la confidencialidad y la integridad de los datos en la plataforma de comercio electrónico.

14 de jul de 202619 min