Iurlek - Noticias Seguridad

Top Noticias Seguridad 06-07-2026

51 s · 6. heinä 2026
jakson Top Noticias Seguridad 06-07-2026 kansikuva

Kuvaus

Un análisis sobre el riesgo que supone para clientes bancarios que algunas entidades tengan la autenticación multifactor como opcional. Se destaca la importancia de activar esta medida para evitar accesos no autorizados y fraudes. Se recomienda mantener la autenticación multifactor siempre activada para mejorar la seguridad.

Kommentit

0

Ole ensimmäinen kommentoija

Rekisteröidy nyt ja liity Iurlek - Noticias Seguridad-yhteisöön!

Aloita maksutta

14 vrk ilmainen kokeilu

Kokeilun jälkeen 7,99 € / kuukausi. · Peru milloin tahansa.

  • Podimon podcastit
  • 20 kuunteluaikaa / kuukausi
  • Lataa offline-käyttöön

Kaikki jaksot

100 jaksot

jakson Top Vulnerabilidades Críticas 08-07-2026 kansikuva

Top Vulnerabilidades Críticas 08-07-2026

cve-2026-59800 presenta una vulnerabilidad crítica de inyección de comandos en un sistema de gestión de KEV. Permite la ejecución remota de comandos arbitrarios y su explotación está confirmada. Es una falla grave que compromete la seguridad del sistema con impacto directo sobre el control del entorno operativo. cve-2020-22653 presenta una vulnerabilidad crítica en el firmware r310 de Ruckus Wireless que permite la ejecución remota de código. Esta falla ya está siendo explotada activamente, representando un grave riesgo para la seguridad de las redes afectadas. cve-2020-22658 afecta a Ruckus Wireless con una vulnerabilidad que permite escalada de privilegios y control total del dispositivo, confirmada su explotación activa en entornos reales. cve-2023-39361 afecta a la plataforma de monitoreo Cacti, permitiendo la ejecución remota de comandos SQL debido a una vulnerabilidad de inyección SQL explotada activamente. cve-2026-34037 permite la clonación de recursos entre distintos equipos en Coolify, exponiendo datos y sistemas a accesos no autorizados. Esta vulnerabilidad crítica de escalada de privilegios tiene explotación activa confirmada y afecta a la gestión de infraestructuras multinivel. cve-2026-34047 afecta a Coolify permitiendo acceso no autorizado a la terminal y ejecución remota de comandos. Esta vulnerabilidad crítica tiene un alto impacto en la seguridad del sistema gestionado. cve-2026-34048 permite a usuarios con privilegios bajos ejecutar comandos remotos en servidores gestionados por Coolify. Esta vulnerabilidad pone en riesgo el control y la seguridad completa de los sistemas afectados. cve-2026-12375 expone una puerta trasera crítica en el plugin uncanny-automator-pro para WordPress, permitiendo a atacantes sin autenticar obtener sesión de administrador y robar claves secretas. La explotación activa confirma el alto riesgo de este fallo. cve-2026-14345 afecta a un plugin de WordPress para embudos de venta, permitiendo ejecución remota de código por manipulación de archivos de registro. La vulnerabilidad es crítica y facilita la ejecución de código sin autenticación previa. cve-2026-4375 describe una ejecución remota de código crítica en plugins de WordPress que permite instalación no autorizada de extensiones. Esta vulnerabilidad afecta a DoLeads Integrator y wp2epub, exponiendo servidores a ataques remotos con privilegios elevados. cve-2026-33264 permite una ejecución remota de código crítica en Apache Airflow mediante la carga de DAGs maliciosos. La vulnerabilidad surge por deserialización insegura que cruza los límites de seguridad del sistema. Es vital actualizar para mitigar este riesgo grave. cve-2011-10043 permite la ejecución remota de código en el módulo de carga de Perl debido a la validación insuficiente de nombres. Esta falla crítica facilita a atacantes la carga de módulos arbitrarios fuera de las rutas autorizadas, poniendo en riesgo la integridad del sistema. cve-2026-53481 describe una vulnerabilidad crítica de recorrido de ruta en Dell PowerProtect Data Domain que permite control total del sistema mediante acceso remoto sin autenticación. cve-2026-53483 representa una vulnerabilidad crítica en Dell PowerProtect Data Domain. Permite el acceso remoto sin autenticación y control total del sistema. Es esencial actualizar el software para mitigar esta amenaza. cve-2026-13019 afecta a Esri Portal for ArcGIS permitiendo acceso remoto no autenticado a funciones críticas mediante API sin protección. La vulnerabilidad es crítica con alta puntuación de severidad, indicando riesgo grave para sistemas afectados. cve-2026-58473 expone una vulnerabilidad crítica en Cognee que permite a atacantes no autenticados redirigir operaciones de LLM y robar datos sensibles. Esta falla de control de acceso es activamente explotada y compromete información de múltiples usuarios. cve-2026-59707 describe una vulnerabilidad crítica en LocalAI que permite ejecutar solicitudes HTTP a redes internas sin autenticación, exponiendo información sensible. El fallo deriva de la falta de validación en las URLs recibidas en el endpoint de la aplicación. cve-2026-46354 afecta a Coder con una grave vulnerabilidad de autenticación por firma no verificada, permitiendo el robo de tokens de sesión. Esta falla crítica compromete la seguridad del entorno remoto al aceptar identificadores falsificados sin validación. cve-2026-59706 expone claves API y permite ataques SSRF críticos en mem0. La vulnerabilidad permite acceso no autorizado a secretos y control remoto mediante parámetros manipulables. Se trata de un riesgo severo que afecta la seguridad de la plataforma. cve-2026-59705 permite acceso no autenticado para leer, modificar y eliminar memorias de usuarios y genera denegación de servicio en mem0 openmemory API. Esta vulnerabilidad crítica afecta severamente la confidencialidad, integridad y disponibilidad del sistema. cve-2026-56843 expone credenciales FTP en texto claro debido a autorización incorrecta en la API XML-RPC de Plesk. Esta vulnerabilidad facilita la ejecución de código por usuarios con bajos privilegios en sistemas de terceros. Representa un riesgo crítico para múltiples inquilinos en entornos compartidos.

8. heinä 202610 min
jakson Top Vulnerabilidades Críticas 07-07-2026 kansikuva

Top Vulnerabilidades Críticas 07-07-2026

cve-2026-13731 describe una vulnerabilidad crítica de cross-site scripting en QuantumCloud WPBot para WordPress que permite la ejecución remota de código en navegadores. Se confirma explotación activa, lo que aumenta su gravedad y la necesidad de parche inmediato. cve-2026-14807 describe una vulnerabilidad crítica en PROG MIS ERP App que permite acceso remoto sin autenticación mediante credenciales embebidas. Supone un riesgo grave de filtración de información sensible y control no autorizado del sistema. cve-2026-14808 afecta a un sistema de gestión empresarial con una vulnerabilidad crítica que permite la exposición de información sensible, incluyendo credenciales de base de datos mediante acceso remoto sin autenticación. cve-2026-6382 afecta a plugins de gestión de archivos en WordPress permitiendo inyección de comandos en el sistema operativo por manejo incorrecto de parámetros en operaciones de imagen. Esto permite la ejecución remota de código con privilegios del servidor cuando ciertas condiciones están presentes. cve-2026-24013 describe una vulnerabilidad crítica de bypass de autenticación en Apache IoTDB, permitiendo acceso no autorizado a datos sensibles. Esta falla se debe a una validación insuficiente de parámetros en handlers RPC. La actualización a la versión 2.0.8 corrige esta vulnerabilidad. cve-2026-24014 afecta a Apache IoTDB permitiendo escritura arbitraria en el sistema. La vulnerabilidad se debe a una validación insuficiente de nombres en la interfaz RPC interna, lo que permite ataques de recorrido de ruta con efectos críticos. La actualización a la versión 2.0.8 mitiga este riesgo. cve-2026-40047 afecta a Apache Camel al permitir inyección de argumentos en su componente Camel Docling. Esta vulnerabilidad crítica permite ejecutar comandos con parámetros no autorizados y saltarse restricciones de ruta. Se recomienda actualizar a versiones parcheadas para mitigar el riesgo. cve-2026-43867 afecta a Apache Camel por deserialización insegura que puede permitir ejecución remota de código. Esta vulnerabilidad crítica debe ser corregida con actualización o restricción de permisos en AWS Secrets Manager. cve-2026-46454 afecta a Apache Camel Cometd Component permitiendo la inyección arbitraria de cabeceras críticas sin autenticación, lo que puede comprometer rutas de integración y productores en la arquitectura. Es vital actualizar o implementar filtros y políticas de seguridad para mitigar esta falla crítica. cve-2026-46455 afecta a Apache Camel y permite aceptar tokens de acceso expirados o no válidos, comprometiendo la autenticación. La actualización a las versiones corregidas restaura la verificación completa del token y mejora la seguridad en la gestión de sesiones. cve-2026-46456 afecta a Apache Camel y permite la manipulación de cabeceras internas en mensajes AWS2-SQS. Esta falla crítica posibilita ataques que alteran el comportamiento de procesos internos mediante inyección arbitraria de cabeceras. La mitigación principal es la actualización a las versiones corregidas que añaden filtrado estricto de cabeceras entrantes. cve-2026-48203 describe una vulnerabilidad crítica en Apache Camel Solr que permite ataques SSRF mediante la inyección de parámetros y campos Solr manipulando cabeceras HTTP. Esta falla puede ser explotada de forma activa sin necesidad de autenticación, afectando la seguridad de servidores internos. La mitigación principal es la actualización a las versiones seguras y la filtración de cabeceras peligrosas en entornos no controlados. cve-2026-48204 afecta a Apache Camel en su componente mongodb-gridfs, permitiendo controlar operaciones críticas sin autenticación. Esta vulnerabilidad crítica permite ejecución no autorizada de comandos en bases de datos y manipulación de archivos. La actualización a la última versión estable es fundamental para evitar explotación. cve-2026-48205 es una vulnerabilidad crítica en Apache Camel que permite a un atacante manipular consultas DNS mediante encabezados HTTP mal validados, facilitando el envenenamiento y reconocimiento interno. Su gravedad alcanza un puntaje alto, con explotación activa confirmada que afecta directamente a operaciones DNS internas. Las recomendaciones incluyen actualizar a versiones específicas que corrigen esta falla o aplicar restricciones estrictas en el manejo de encabezados para mitigar el riesgo. cve-2026-56140 afecta a Apache Camel AWS SNS con una vulnerabilidad crítica de validación de entradas. La falta de un filtro inbound en el componente productor permite posibles manipulaciones de encabezados, corregida en versiones posteriores. No hay evidencia de explotación activa conocida. cve-2026-12686 describe una vulnerabilidad crítica de autorización cruzada en Biloop Adisss. Permite a usuarios autenticados acceder y modificar datos de otras empresas en el mismo entorno subdominio. Esta falla compromete la confidencialidad y la integridad de los datos empresariales. cve-2026-6900 describe una vulnerabilidad crítica en la validación de certificados del sistema APROL de B y R Industrial Automation GmbH. Este fallo permite ataques que comprometen la integridad de las comunicaciones en entornos industriales. La explotación activa de esta vulnerabilidad eleva su gravedad al máximo nivel. cve-2025-53827 es una vulnerabilidad crítica en ownCloud Core que permite la ejecución remota de código mediante una función expuesta en el actualizador. Esta falla afecta a versiones anteriores a la 10.15.3 y ha sido corregida en esa actualización. cve-2025-53830 afecta a Anti-Virus for ownCloud permitiendo ataques SSRF que comprometen la seguridad interna mediante solicitudes arbitrarias desde el servidor. La mitigación pasa por actualizar a versiones corregidas para evitar explotación activa. cve-2026-5268 afecta a los servidores SFTP de Ciena permitiendo un acceso no autorizado sobre el sistema de archivos, comprometiendo la integridad y confidencialidad de los datos. cve-2026-40138 expone una vulnerabilidad crítica de autenticación en BeyondTrust Remote Support y Privileged Remote Access, permitiendo acceso no autorizado con privilegios elevados. Es un fallo grave en sistemas de acceso remoto que deben revisarse para evitar brechas de seguridad. cve-2026-40139 afecta a BeyondTrust Remote Support permitiendo eludir controles de acceso y obtener acceso no autorizado con privilegios elevados mediante una vulnerabilidad de autenticación previa. cve-2026-48316 afecta a Adobe ColdFusion permitiendo la ejecución de código arbitrario sin interacción del usuario. Esta vulnerabilidad crítica se basa en una validación incorrecta de entradas que cambia el ámbito de ejecución. cve-2026-48614 permite una escalada de privilegios crítica en Plesk XML API. Esta vulnerabilidad facilita la ejecución de código con permisos de root mediante inyección de directivas maliciosas en la configuración del servidor. Es una falla grave que compromete la seguridad del sistema a nivel completo. cve-2026-9181 afecta a Esri ArcGIS Server permitiendo acceso no autorizado a archivos sensibles mediante recorrido de directorios. Es una vulnerabilidad crítica con explotación activa confirmada que compromete la seguridad del sistema. cve-2026-34038 afecta a Coolify y permite la ejecución remota de código y robo de información mediante inyección en campos de despliegue. Es una vulnerabilidad crítica con explotación confirmada y alto impacto en la seguridad de servidores y aplicaciones. cve-2026-42341 afecta al sistema de facturación FOSSBilling con una vulnerabilidad crítica que permite modificar estados de pago sin autenticación. Esta falla compromete la integridad financiera y puede ser explotada activamente si no se aplican mitigaciones. cve-2026-57571 afecta a Crawl4AI, una herramienta de rastreo web. Permite escritura arbitraria de archivos y ejecución remota de código por manipulación en los nombres de archivo. cve-2026-57572 permite la ejecución remota de código en Crawl4AI. La vulnerabilidad aprovecha la inyección de comandos en la API Docker no autenticada, provocando un riesgo crítico para el sistema.

Eilen16 min