Iurlek - Noticias Seguridad

Top Vulnerabilidades Críticas 24-06-2026

12 min · 24. kesä 2026
jakson Top Vulnerabilidades Críticas 24-06-2026 kansikuva

Kuvaus

cve-2024-6648 afecta a apollotheme ap_pagebuilder y permite un salto de directorio debido a la falta de restricción adecuada en la ruta, causando exposición no autorizada de archivos del sistema. Esta vulnerabilidad tiene explotación activa confirmada, elevando su criticidad y urgencia en la mitigación. cve-2025-12352 es una vulnerabilidad crítica en Google Cloud Console que permite la carga no restringida de archivos peligrosos y puede llevar a la ejecución remota de código. Esta falla está siendo explotada activamente, aumentando el riesgo en entornos afectados. cve-2026-6433 reporta una vulnerabilidad crítica de inyección de código con explotación activa confirmada que permite ejecución remota de comandos en el sistema afectado. Este fallo representa un riesgo severo para la integridad y control del sistema. cve-2020-36847 afecta a SimpleFileList simple_file_list permitiendo la subida ilimitada de archivos maliciosos. Esto puede llevar a la ejecución remota de código con consecuencias graves para la seguridad del sistema. cve-2025-7443 afecta a un plugin popular de WordPress permitiendo la subida de archivos maliciosos sin restricción. Esto puede permitir ejecutar código remotamente y tomar control del servidor. cve-2025-67038 afecta a Lantronix EDS5000 con una inyección de código que permite la ejecución remota de comandos y control total del dispositivo. Esta vulnerabilidad está siendo activamente explotada y representa un riesgo crítico para la gestión remota industrial. cve-2026-12866 expone una ejecución remota de código en expr eval de silentmatt debido a la transformación directa de expresiones en código ejecutable. Esta vulnerabilidad crítica permite a un atacante ejecutar código arbitrario en el contexto de la aplicación afectada. cve-2026-9733 permite secuestro de sesiones por predicción del parámetro state en Mojolicious Plugin Web Auth OAuth2. Esta vulnerabilidad crítica expone aplicaciones Perl a ataques CSRF mediante explotación activa, comprometiendo la autenticidad de usuarios. cve-2026-11374 describe una vulnerabilidad crítica en productos de ManageEngine que permite la predicción de tickets SSO y la toma de control de cuentas sin autenticación previa. Esta falla afecta a herramientas esenciales para la gestión de acceso y auditorías, elevando el riesgo de compromisos de seguridad graves. cve-2026-44089 afecta al router Totolink EX1200L mediante un desbordamiento de búfer que permite ejecución remota de código con privilegios root y puede causar daños críticos en el dispositivo. cve-2026-56258 afecta a Crawl4AI permitiendo escritura arbitraria de archivos y ejecución remota de código mediante validación insuficiente y explotación TOCTOU. cve-2026-56315 afecta a picklescan y permite la ejecución remota de código mediante archivos pickle maliciosos que evaden mecanismos de seguridad. Esta vulnerabilidad crítica destaca por su alta severidad y explotación confirmada, comprometiendo sistemas que utilizan esta librería para validar archivos pickle. cve-2026-27604 afecta al sistema FOSSBilling permitiendo acceso total sin autenticación a funciones administrativas de la API. La vulnerabilidad permite ejecutar comandos como administrador sin credenciales, lo que representa un riesgo crítico para la integridad y seguridad del sistema. cve-2026-35019 afecta a routers NetComm NF20MESH permitiendo saltarse la autenticación con una clave cifrada integrada. Esto permite a atacantes sin autorización acceder a la administración del dispositivo y tomar control completo de la interfaz de gestión. cve-2026-48519 afecta a la herramienta Langflow, permitiendo la ejecución remota de código al manipular flujos públicos. Esta vulnerabilidad es crítica y permite el control completo del sistema explotado. cve-2026-55255 afecta a Langflow con una vulnerabilidad crítica de referencia de objeto directa insegura que permite ejecución remota de flujos de trabajo de otros usuarios. La falta de validación de identificadores en la API es la causa principal del fallo. cve-2026-55447 afecta a Langflow permitiendo la lectura arbitraria de archivos mediante control de rutas absolutas. Esta vulnerabilidad crítica expone archivos sensibles del sistema mediante componentes de gestión de archivos. cve-2026-55450 afecta a Langflow permitiendo agotamiento de espacio y filtración de información por carga sin restricciones. La explotación activa confirma su gravedad y la necesidad de actualizar a la versión segura. cve-2026-53662 es una vulnerabilidad crítica en Immich que permite la toma persistente de cuentas mediante cross-site scripting reflejado. Esta falla puede comprometer completamente la cuenta autenticada de un usuario con un solo clic. Su explotación activa confirma la gravedad del problema. cve-2026-54257 afecta a Electron causando corrupción de memoria crítica que puede provocar fallos y problemas de seguridad en aplicaciones de escritorio multiplataforma. cve-2026-53753 afecta a UncleCode Crawl4AI permitiendo la ejecución remota de código sin autenticación mediante un escape del sandbox en funciones de evaluación segura. La vulnerabilidad presenta una severidad crítica y riesgo crítico para sistemas que utilizan esta herramienta. cve-2026-11807 es una vulnerabilidad crítica en Red Hat Event-Driven Ansible que expone credenciales sensibles por falta de control de acceso. Afecta la seguridad de la automatización y permite a usuarios autenticados obtener información confidencial. cve-2026-54588 afecta críticamente a PowerAdmin al permitir la toma de control total de cuentas a través de una falla en la validación de cabeceras HTTP. La explotación confirmada hace que un atacante no autenticado pueda redirigir códigos de autorización a servidores maliciosos. Esta vulnerabilidad es crítica, con un alto puntaje de severidad, y ha sido corregida en versiones posteriores del producto.

Kommentit

0

Ole ensimmäinen kommentoija

Rekisteröidy nyt ja liity Iurlek - Noticias Seguridad-yhteisöön!

Aloita maksutta

14 vrk ilmainen kokeilu

Kokeilun jälkeen 7,99 € / kuukausi. · Peru milloin tahansa.

  • Podimon podcastit
  • 20 kuunteluaikaa / kuukausi
  • Lataa offline-käyttöön

Kaikki jaksot

100 jaksot

jakson Top Vulnerabilidades Críticas 12-07-2026 kansikuva

Top Vulnerabilidades Críticas 12-07-2026

cve-2026-13777 afecta a Chromium iOSWeb con validación insuficiente que permite ejecución remota de código. Se confirma explotación activa que eleva el riesgo de ataque en dispositivos iOS. cve-2026-13778 afecta a Google Chromium y permite la ejecución remota de código mediante un uso después de liberación en WebUSB. Esta vulnerabilidad crítico compromete la seguridad del navegador por corrupción de memoria y está siendo explotada activamente. cve-2026-13785 afecta al navegador Chromium permitiendo la ejecución remota de código mediante un uso después de liberar memoria en Bluetooth. Esta vulnerabilidad es crítica y tiene explotación activa confirmada. cve-2026-58281 afecta a Microsoft Edge permitiendo ejecución remota de código con explotación activa. Esta vulnerabilidad representa un grave riesgo para la seguridad y el control del dispositivo. cve-2026-57827 es una vulnerabilidad crítica en la extensión RSFiles de Joomla que permite la subida sin autenticación de archivos maliciosos. Esto posibilita la ejecución remota completa de código en el servidor afectado. cve-2026-57828 afecta a Joomla Phoca Downloads y permite la ejecución remota de código mediante carga de archivos arbitrarios por usuarios autenticados. Es una vulnerabilidad crítica con explotación activa confirmada que pone en riesgo servidores web que usan esta extensión. cve-2026-60090 afecta a PraisonAI en su gestión de colecciones vectoriales permitiendo inyección SQL. La falta de validación en un parámetro crítico permite ejecutar comandos arbitrarios en la base de datos, representando un riesgo crítico de seguridad. cve-2026-61445 afecta a PraisonAI permitiendo escritura arbitraria y ejecución remota con privilegios root. Esta vulnerabilidad crítica permite control total del sistema mediante la inyección de comandos maliciosos a través de la interfaz de chat. cve-2026-61447 describe una vulnerabilidad crítica en PraisonAI que permite la ejecución remota de código debido a la falta de validación en el código Python generado. Esta falla posibilita la exfiltración de secretos del entorno y la ejecución arbitraria en el sistema comprometido.

12. heinä 20264 min
jakson Top Vulnerabilidades Críticas 11-07-2026 kansikuva

Top Vulnerabilidades Críticas 11-07-2026

cve-2026-48939 afecta a iCagenda permitiendo la carga de archivos maliciosos con explotación activa confirmada, lo que puede llevar a ejecución remota de código y compromiso completo del sistema. cve-2026-45586 afecta a Microsoft Windows permitiendo acceso no autorizado a archivos y ejecución remota de código mediante la manipulación de enlaces. Se confirma explotación activa que incrementa su peligrosidad y sugiere una atención prioritaria. cve-2026-14894 presenta una vulnerabilidad crítica en Super Forms para WordPress que permite la ejecución remota de código mediante carga arbitraria de archivos sin validación ni control de permisos. Esta falla facilita que atacantes no autenticados puedan comprometer servidores vulnerables con facilidad. cve-2026-15282 afecta al plugin Instant Appointment de WordPress, permitiendo la subida arbitraria de archivos sin validación y facilitando la ejecución remota de código. Esta vulnerabilidad es crítica con un alto nivel de severidad y explotación activa confirmada. cve-2026-15300 afecta al plugin GEO my WP para WordPress, permitiendo inyección SQL mediante parámetros no validados. La vulnerabilidad puede causar ejecución de código malicioso en la base de datos y ha sido confirmada en explotación activa. Se corrigió con validación estricta y conversión numérica de parámetros afectados. cve-2026-28564 afecta a Apache IoTDB permitiendo bypass de autenticación mediante sesiones obsoletas y credenciales en caché. Esta vulnerabilidad crítica facilita el acceso no autorizado y compromete la seguridad del sistema. cve-2026-40005 es una vulnerabilidad crítica en Apache IoTDB que permite la escritura arbitraria de archivos debido a un salto de directorio. La reparación requiere actualizar a la versión segura para evitar la explotación activa. cve-2026-40008 afecta a Apache IoTDB permitiendo ejecución remota por reflexión insegura. Se recomienda actualizar a la versión corregida para evitar explotación activa. cve-2026-15378 es una vulnerabilidad crítica que afecta a un componente de seguridad de Red Hat, permitiendo ataques SSRF ciegos y acceso a datos sensibles. Impacta la confidencialidad y seguridad en sistemas cloud y Kubernetes. cve-2026-41876 afecta a R-Soft R-SOFT DMS permitiendo la ejecución remota de comandos con privilegios elevados. Este fallo se produce debido a la falta de validación adecuada en el módulo de reconocimiento óptico de caracteres. Es una vulnerabilidad crítica con explotación activa confirmada. cve-2026-56688 contiene una vulnerabilidad crítica en Dell PowerFlex Manager que permite la ejecución remota de comandos como root y compromete la infraestructura. Esta falla facilita la toma completa del sistema y movimientos laterales en la red afectada. cve-2026-56261 describe una vulnerabilidad crítica SSRF en Crawl4AI que permite acceder a redes internas y metadatos en la nube mediante URLs maliciosas. Esta vulnerabilidad representa un riesgo grave para la seguridad de servicios internos en plataformas de automatización basadas en contenedores. cve-2026-56765 describe una falla crítica en Vikunja que permite la escalada de privilegios y el acceso no autorizado a todos los archivos adjuntos de tareas. La vulnerabilidad permite que usuarios con permisos limitados accedan y eliminen datos a nivel administrativo. Es una vulnerabilidad de alta gravedad con explotación activa confirmada. cve-2026-59792 afecta a JetBrains IntelliJ IDEA permitiendo la ejecución remota de código mediante vulnerabilidad de salto de ruta. Esta falla crítica representa un grave riesgo para los usuarios de este entorno de desarrollo integrado. cve-2026-61444 expone una vulnerabilidad crítica en PraisonAI que permite la ejecución remota de código por inyección directa sin protección. El fallo radica en la inserción insegura de parámetros en cadenas de código en el despliegue, facilitando ataques remotos sin restricción. cve-2026-15143 permite a atacantes remotos explotar una vulnerabilidad en la herramienta guardrails-detectors de Red Hat, provocando la divulgación de información sensible y accesos no autorizados a servicios internos. Esta vulnerabilidad destaca por su severidad crítica y riesgo alto de explotación remota. cve-2026-55500 permite la exportación e importación total de bases de datos protegidas solo por tokens JWT o CLI insuficientemente validados. Esto expone credenciales y configuraciones sensibles en routers inteligentes de Decolua. cve-2026-51119 afecta a Invixium IXM WEB permitiendo la escalada de privilegios mediante un fallo en la gestión de usuarios, comprometiendo gravemente el sistema de control de acceso. cve-2026-58492 afecta a GetGrav Grav Plugin Database permitiendo la ejecución arbitraria de código SQL debido a la falta de sanitización en las consultas. Esto puede comprometer la integridad y confidencialidad de los datos almacenados, representando un riesgo crítico. cve-2026-2397 es una vulnerabilidad crítica de inyección SQL en MobilMen 20T que permite la ejecución remota de código y acceso no autorizado a datos. Esta falla en el software de Adam Retail Automation Ltd. representa un riesgo grave para la seguridad de las aplicaciones afectadas. cve-2026-59151 destaca una vulnerabilidad crítica en Prowler que permite la suplantación de identidad a través del flujo SAML. Un atacante autenticado puede obtener tokens de acceso erróneos y comprometer múltiples cuentas. La solución es aplicar la actualización a la versión segura. cve-2026-5801 afecta a SEM-PMP con inyección SQL que permite ejecución remota de comandos. Esta vulnerabilidad es crítica con un puntaje de severidad alto y explotación confirmada. cve-2026-61459 afecta a MCP Server Kubernetes con una vulnerabilidad crítica de inyección de argumentos que permite el secuestro total del clúster. Esta falla permite a un atacante redirigir comandos kubectl y robar tokens de acceso. cve-2026-12761 afecta a un plugin reconocido de WordPress que permite el acceso administrativo total mediante bypass de autenticación robusta. Esta vulnerabilidad es altamente crítica con impacto directo en la seguridad de cuentas administrativas por explotación efectiva. cve-2026-55879 afecta a OpenReplay y permite la ejecución remota de código logrando el control de cuentas administrativas. La vulnerabilidad se debe a una inyección de scripts por falta de codificación en eventos personalizados. cve-2026-57807 es una vulnerabilidad crítica en miniOrange OAuth Single Sign On SSO OAuth Client que permite bypass de autenticación mediante explotación de recuperación de contraseña. Afecta a sistemas WordPress y puede comprometer completamente la seguridad del acceso. cve-2026-55884 afecta a Tilt HUD permitiendo ejecución remota de código y acceso sin autenticación. Esta vulnerabilidad crítica compromete recursos y datos sensibles en entornos de desarrollo Kubernetes. cve-2026-20744 presenta una grave vulnerabilidad que permite la escalada de privilegios debido a la falta de autenticación en el endpoint websocket de estaciones de carga. Esta falla afecta directamente el control de sistemas críticos y requiere atención inmediata.

Eilen14 min