Iurlek - Noticias Seguridad

Top Vulnerabilidades Críticas 25-06-2026

19 min · 25 de jun de 2026
Portada del episodio Top Vulnerabilidades Críticas 25-06-2026

Descripción

cve-2026-7482 afecta a Ollama Ollama con una lectura fuera de límites que puede divulgar información sensible y provocar fallos. Esta vulnerabilidad tiene explotación confirmada y severidad crítica. cve-2026-56011 describe una vulnerabilidad crítica en Google Chrome que permite la ejecución remota de código y está siendo explotada activamente. Esta amenaza compromete la seguridad del usuario al permitir el control total del sistema afectado. cve-2021-27076 afecta a servidores de Microsoft, permitiendo ejecución remota de código sin autorización. Esta vulnerabilidad ha sido explotada activamente, representando un riesgo grave para la seguridad y control del servidor. cve-2021-28199 afecta al firmware asmb9-ikvm de asus y permite la ejecución remota de código debido a un desbordamiento de búfer. Esta vulnerabilidad crítica está siendo explotada activamente, incrementando el riesgo para sistemas afectados. cve-2026-12485 permite ejecución remota de código en el dispositivo GV I O Box 4E a través de un desbordamiento de pila causado por el manejo incorrecto de datos en el campo IP. La vulnerabilidad expone el sistema a un compromiso total por mensajes UDP no autenticados. cve-2026-12486 afecta a dispositivos GeoVision GV I O Box 4E. Esta vulnerabilidad permite la ejecución remota de comandos mediante entradas de red maliciosas. Representa un riesgo crítico debido a la falta de validación en comandos del sistema. cve-2026-12846 describe una vulnerabilidad crítica de desbordamiento de pila en GV I O Box 4E que permite la ejecución remota de código. Esta falla pone en riesgo la integridad y disponibilidad de los sistemas que usan este dispositivo embebido. cve-2026-12847 afecta a dispositivos GV-I/O Box 4E. Esta vulnerabilidad permite ejecución remota de código mediante desbordamiento de pila controlado por el atacante. El ataque se realiza a través del envío de mensajes UDP al servicio activo en el dispositivo. cve-2026-12848 afecta a dispositivos embebidos con control remoto, permitiendo ejecución remota de código mediante un desbordamiento de pila en el manejo de cadenas DNS. Es una vulnerabilidad crítica con explotación activa confirmada. cve-2026-12849 afecta a GeoVision GV I O Box 4E permitiendo ejecución remota de comandos por inyección en la configuración de red. Esta vulnerabilidad es crítica y explotable vía red mediante paquetes manipulados. Se recomienda actualizar o mitigar este fallo para evitar compromisos del sistema. cve-2026-12850 expone una inyección de comandos crítica en GeoVision GV-I O Box 4E, permitiendo ejecución remota a través de red. Esta vulnerabilidad afecta configuraciones de red y representa un riesgo alto para dispositivos de control de vídeo en red. cve 2026 12851 afecta a GeoVision GV I O Box 4E con inyección de comandos críticos mediante configuración DNS sin sanitizar. La vulnerabilidad permite ejecución remota de código y ha sido explotada activamente. Es una amenaza crítica para dispositivos de videovigilancia conectados a red. cve-2026-12416 afecta a un popular plugin de WordPress permitiendo secuestro de cuentas mediante restablecimiento de contraseña sin verificación. Esta falla permite a atacantes cambiar contraseñas sin autorización, incluso en cuentas administrativas. cve-2026-12417 describe una grave vulnerabilidad en un plugin de autenticación para WordPress que permite la toma de control completa de cuentas sin necesidad de autenticación previa. La falla reside en una validación insuficiente del código de restablecimiento de contraseña, exponiendo los sitios afectados a ataques activos y escalada de privilegios. cve-2026-56223 describe una vulnerabilidad crítica en Capgo que permite la toma de control completa de cuentas mediante ataques de suplantación SSO. Esta falla vulnera la validación de proveedores SSO y afecta directamente la seguridad organizativa y de datos. cve-2026-56237 expone una falla crítica en la generación de claves API en Capgo. Esta vulnerabilidad permite la creación y uso de claves no autorizadas, comprometiendo la seguridad del sistema y permitiendo accesos indebidos. cve-2026-12537 permite la ejecución remota de código en Google Gemini CLI y su acción asociada en GitHub. Esta vulnerabilidad afecta la seguridad de entornos de integración continua al permitir control a nivel de host a atacantes sin privilegios. cve-2026-56121 expone una vulnerabilidad crítica de ejecución remota de código en Feast. Un atacante puede aprovechar la deserialización insegura para ejecutar comandos arbitrarios sin autenticación previa, comprometiento la seguridad del sistema. cve-2026-13028 afecta a Google Chrome con una vulnerabilidad crítica que permite la ejecución libre tras liberación en WebGL y posibilita el escape del sandbox. Esta falla es explotada activamente mediante páginas HTML diseñadas para atacar dispositivos Android. cve-2026-13032 describe una vulnerabilidad crítica en Google Chrome para Android que permite la ejecución remota de código y el escape de sandbox mediante WebGL. La explotación activa confirmada hace que sea una amenaza prioritaria en entornos móviles. cve-2026-49980 afecta a Rclone y permite la ejecución remota de comandos sin autenticación, representando un riesgo crítico para la seguridad en la gestión de archivos en la nube. cve-2026-53943 afecta a Ghost CMS y permite envenenamiento de caché con control sobre cuentas del personal. La vulnerabilidad permite manipular contenido cacheado y secuestrar sesiones administrativas en configuraciones específicas. cve-2026-33543 describe una vulnerabilidad crítica en FOSSBilling que permite la creación y autenticación no autorizada de cuentas administrativas. Esta falla facilita la toma total del control del sistema por un atacante. cve-2026-45688 afecta a Rocket Chat y permite la escalada completa de privilegios mediante la manipulación de consultas en MongoDB. Esta vulnerabilidad crítica permite a atacantes no autenticados obtener tokens válidos de usuarios y administradores. cve-2026-45689 afecta a Rocket Chat y permite a atacantes sin autenticar obtener tokens de acceso válidos para cualquier usuario, incluyendo administradores, comprometiendo así la seguridad completa del sistema y permitiendo ejecución remota de código con privilegios elevados. cve-2026-46423 afecta a Rocket Chat y permite eludir la autenticación mediante fallos en la validación de firmas SAML cuando falta un certificado obligatorio. Este fallo grave compromete la seguridad de la plataforma de comunicaciones y permite acceso remoto sin control. cve-2026-52806 afecta a Gogs y permite ejecución remota de código mediante inyección en git rebase. La vulnerabilidad aprovecha la manipulación de nombres de ramas en solicitudes de extracción. Este fallo crítico compromete la seguridad del servidor Git autoalojado. cve-2026-52811 afecta a Gogs y permite ejecución remota de código debido a una mala gestión de enlaces simbólicos. Esta vulnerabilidad tiene explotación activa confirmada y severidad crítica, comprometiendo la integridad y seguridad del sistema. cve-2026-52813 afecta a Gogs y permite ejecución remota de código mediante manipulaciones de rutas en nombres de organización. Esta vulnerabilidad crítica impacta directamente en la integridad y seguridad del sistema de archivos, facilitando ataques remotos. cve-2026-39893 expone una vulnerabilidad crítica de inyección SQL en Cacti, permitiendo ejecución remota sin autenticación previa. Esta falla compromete la seguridad del sistema al permitir manipulación directa en la base de datos. La gestión insegura de variables en peticiones web es el origen del problema. cve-2026-50551 afecta a Siyuan SiYuan permitiendo ejecución remota de código debido a una vulnerabilidad de cross-site scripting. Esta falla crítica permite a un atacante ejecutar código en el cliente de escritorio Electron. La vulnerabilidad se corrige en la versión 3.7.0 del producto. cve-2026-54067 afecta a SiYuan permitiendo ejecución remota de código mediante inyección en fragmentos CSS. La vulnerabilidad permite a atacantes ejecutar código arbitrario en el sistema del usuario haciéndose con el control completo. cve-2026-54069 afecta a SiYuan Note permitiendo acceso administrativo a través de extensiones de navegador sin autenticación. Esta vulnerabilidad permite exfiltrar datos, ejecutar ataques XSS y alterar configuraciones. Se trata de un fallo crítico de escalada de privilegios con explotación activa confirmada. cve-2026-54158 afecta a SiYuan y permite la ejecución remota de código mediante inyección de JavaScript en el renderizador de celdas. Esta vulnerabilidad crítica permite a un atacante ejecutar código arbitrario en el sistema afectado con alto nivel de privilegios. cve-2026-55454 describe un fallo crítico en Appsmith que permite la toma completa del proxy inverso mediante una petición no autenticada. Este defecto permite la ejecución remota de código y control total de la configuración del servidor. cve-2026-55570 afecta a SiYuan y permite la ejecución remota de comandos debido a un fallo en el escape de datos en el cliente de escritorio. La vulnerabilidad permite un ataque de inyección HTML que escala a ejecución de código arbitario en el sistema operativo. cve-2026-55666 afecta a Rocket Chat y permite la toma de control de cuentas mediante la manipulación del flujo de autenticación con Apple. Esta vulnerabilidad crítica explota la falta de validación adecuada del correo electrónico en tokens JWT, comprometendo la seguridad de usuarios en la plataforma. cve-2026-39938 es una vulnerabilidad crítica de inclusión de archivos en Cacti que permite la ejecución remota de código sin autenticación. Afecta a versiones anteriores a 1.2.31 y tiene un impacto muy grave en la seguridad del sistema. cve-2026-39948 afecta a Cacti y permite inyección SQL sin autenticación, comprometiendo la base de datos. Esta vulnerabilidad es crítica y permite acceso no autorizado a información sensible. cve-2026-39955 afecta a Cacti produciendo una inyección SQL crítica que permite ejecución remota de código sin necesidad de autenticación.

Comentarios

0

Sé la primera persona en comentar

¡Regístrate ahora y únete a la comunidad de Iurlek - Noticias Seguridad!

Prueba gratis

Empieza 7 días de prueba

$99 / mes después de la prueba. · Cancela cuando quieras.

  • Podcasts solo en Podimo
  • 20 horas de audiolibros al mes
  • Podcast gratuitos

Todos los episodios

100 episodios

episode Top Vulnerabilidades Críticas 16-07-2026 artwork

Top Vulnerabilidades Críticas 16-07-2026

cve-2023-4346 afecta a un protocolo de automatización de edificios y permite denegación de servicio mediante un bloqueo excesivo de cuentas. Esta vulnerabilidad está siendo explotada activamente y representa un riesgo crítico para sistemas que dependen de este protocolo. cve-2026-56400 permite la ejecución remota de código en Open Web UI debido a una configuración incorrecta de CORS que posibilita solicitudes maliciosas autenticadas. Esta falla permite a atacantes controlar completamente instancias afectadas con sólo atraer a un administrador a un sitio web manipulado. cve-2026-56699 afecta a Wazuh Manager permitiendo inyección de operaciones maliciosas en solicitudes bulk que conduce a manipulación crítica del sistema de seguridad. Esta vulnerabilidad tiene explotación activa confirmada y alta severidad. cve-2026-61451 afecta a Grav API plugin permitiendo la divulgacion de tokens de restablecimiento de contrasena y el secuestro completo de cuentas. La vulnerabilidad se basa en la falta de validacion del origen de la URL suministrada para restablecimiento. Es critica y de explotacion activa confirmada. cve-2026-42533 afecta a NGINX Plus y NGINX Open Source con una vulnerabilidad crítica que permite denegación de servicio y posible ejecución remota de código. Esta falla reside en el manejo incorrecto de variables en directivas map con expresiones regulares. La explotación aprovecha peticiones HTTP maliciosas para comprometer la estabilidad y seguridad del servidor. cve-2026-61736 afecta a LightRAG y permite explotación remota por configuración insegura de CORS, poniendo en riesgo datos y control del sistema. Esta vulnerabilidad es crítica por la capacidad de ataques autenticados desde sitios maliciosos. cve-2026-61740 afecta a LightRAG permitiendo acceso remoto sin autenticación a funciones protegidas, lo que compromete la integridad y confidencialidad de datos. Esta vulnerabilidad crítica debe ser parcheada para evitar explotación. cve-2026-44986 afecta a Penpot y permite la toma de control de perfiles sin verificación de contraseña, representando un grave riesgo para la integridad de las cuentas. La actualización a la versión segura cierra esta vulnerabilidad crítica. cve-2026-50148 permite la ejecución remota de código en Metabase mediante la explotación del controlador Snowflake. Un usuario con permisos para modificar conexiones de bases de datos puede comprometer el servidor completo. Esta falla de severidad crítica requiere actualización inmediata de la herramienta. cve-2026-52842 afecta a Lightpanda, permitiendo un bypass crítico de la política del mismo origen. Esta falla permite que un atacante ejecute código malicioso como si fuera otro dominio. cve-2026-52843 afecta a Lightpanda y permite ataques de solicitudes autenticadas cruzadas debido a un mal manejo de cookies de sesión. Esta vulnerabilidad permite acceder y manipular recursos protegidos de otros orígenes bajo la sesión del usuario afectado. cve-2026-62378 afecta a RustFS Console con una vulnerabilidad crítica que permite ejecución de código y exposición de credenciales administrativas. Esto pone en riesgo el control y la seguridad del sistema distribuido RustFS. La vulnerabilidad ya ha sido corregida en la versión actualizada. cve-2026-50562 afecta a la plataforma de inteligencia artificial FastGPT, permitiendo la explotación activa para la ejecución arbitraria de código a través de artefactos maliciosos en workflows de GitHub. Esta falla crítica permite acceso a secretos y la ejecución de imágenes Docker controladas por atacantes. cve-2026-53512 afecta a Better Auth permitiendo a atacantes usar refresh tokens para obtener acceso no autorizado mediante endpoints OAuth. Esta falla crítica compromete la autenticación al no verificar correctamente el client secret en ciertas configuraciones. cve-2026-53513 afecta a Better Auth y permite ataques remotos mediante falsificación de solicitudes del lado servidor, comprometiendo la seguridad de la autenticación OIDC. Esta vulnerabilidad es crítica y ya tiene explotación confirmada. cve-2026-62948 afecta a dispositivos con sistema operativo OpenWrt en la gestión DHCPv6 permitiendo ejecución de código malicioso mediante inyección en la interfaz web. Esta vulnerabilidad es crítica y se encuentra activamente explotada. cve-2026-46421 afecta a paquetes de base de datos SQL en cap-js, permitiendo la exfiltración masiva de credenciales y propagación maliciosa. Representa un riesgo crítico con explotación activa confirmada, exigiendo actualización y rotación inmediata de credenciales. cve-2026-45534 afecta a DataEase y permite ejecución remota de código vía configuración maliciosa en conexiones Redshift. Esta falla critica compromete integridad y seguridad en el acceso a bases de datos. Se recomienda actualizar a la versión corregida para mitigar el riesgo. cve-2026-46684 afecta a DataEase y permite la aceptación de tokens falsificados, comprometiendo la autenticación y autorización. Esta falla crítica de validación de tokens representa un riesgo grave para la seguridad del sistema. cve-2026-49445 describe una vulnerabilidad crítica en Cilium que permite acceso no autorizado a funciones administrativas y secretos sensibles, afectando la seguridad del tráfico en clústeres. Esta falla pone en riesgo la integridad y disponibilidad del sistema. cve-2026-46339 afecta a 9Router permitiendo la ejecución remota de comandos mediante registro no autenticado de plugins. Esta vulnerabilidad crítica posibilita la ejecución arbitraria de código y compromete la integridad del sistema. cve-2026-49352 expone una vulnerabilidad crítica en el router AI 9Router, donde una clave secreta por defecto permite falsificar tokens de autenticación. Esta falla permite un riesgo elevado de suplantación de usuarios. cve-2026-52887 afecta a la plataforma NocoBase y permite la ejecución remota de código mediante inyección SQL sin escape. Esta vulnerabilidad crítica permite el control total del sistema afectado y la ejecución de comandos arbitrarios. cve-2026-54052 expone una vulnerabilidad crítica de aislamiento en n8n mcp que permite a usuarios autenticados acceder y eliminar datos de otros usuarios. Esta falla puede comprometer la integridad y confidencialidad de la información en entornos multiusuario. cve-2026-52891 permite la ejecución remota de comandos mediante manipulación de nombres de archivo en Wekan. Esta vulnerabilidad crítica afecta la seguridad del servidor y está explotada activamente, requiriendo actualización inmediata a la versión segura. cve-2026-52893 afecta a Wekan y permite la fusión insegura de credenciales OIDC, posibilitando el acceso no autorizado a cuentas de usuarios. Esta vulnerabilidad crítica permite a un atacante tomar el control de cuentas mediante la suplantación de identidad vía OIDC sin verificación adecuada. cve-2026-54458 afecta a la plataforma WWBN AVideo y permite la ejecución remota de código malicioso en el contexto de administradores. Se confirma la explotación activa que puede derivar en la toma total del control administrativo del sistema a través del plugin YPTSocket. Es una vulnerabilidad crítica por la falta de validación de entradas en conexiones WebSocket. cve-2026-55445 afecta a la plataforma Qinglong permitiendo la reconfiguración no autorizada de credenciales administrativas mediante un endpoint no protegido. La vulnerabilidad se debe a una gestión incorrecta de rutas que omite la autenticación en ciertos accesos críticos. cve-2026-55652 afecta a Wekan. Permite a un atacante obtener un token de sesión sin autenticación, incluyendo acceso a cuentas de administrador. Es una vulnerabilidad crítica y explotada activamente basada en la manipulación de cabeceras HTTP.

16 de jul de 202615 min
episode Top Vulnerabilidades Críticas 15-07-2026 artwork

Top Vulnerabilidades Críticas 15-07-2026

cve-2026-62392 afecta a Apache Kylin permitiendo inyección de comandos y ejecución remota. La vulnerabilidad es crítica y debe aplicarse la actualización. cve-2025-12011 afecta a controladores industriales Rockwell Automation y provoca denegación de servicio total mediante proyectos maliciosos. Es una vulnerabilidad crítica con alta severidad y explotación remota confirmada. cve-2025-12012 es una vulnerabilidad crítica en controladores industriales de Rockwell Automation que permite denegación de servicio mediante datos corruptos. Esta falla grave afecta la disponibilidad del sistema y puede causar fallos permanentes. cve-2026-15265 afecta a Tenable Agent con una vulnerabilidad crítica de ejecución remota de código mediante recorrido de ruta que permite la escritura arbitraria de archivos fuera del directorio previsto. cve-2026-58479 expone una ejecución remota de comandos crítica en Sustainable Irrigation Platform. Esta falla permite el acceso no autorizado total mediante un plugin opcional vulnerable en la plataforma de riego. Impacta directamente la integridad y control del sistema afectado. cve-2025-11698 es una vulnerabilidad crítica en firmware de controladores industriales Rockwell Automation que permite a un atacante provocar una denegación de servicio total e irreversible. cve-2026-55954 describe una vulnerabilidad crítica en ueberauth_apple que permite la suplantación de identidad mediante tokens no validados. La ausencia de comprobaciones clave como la expiración y audiencia facilita la toma de control de cuentas entre aplicaciones que comparten el mismo equipo de desarrollo. cve-2026-42990 permite la ejecución remota de código en Microsoft SQL Server. La vulnerabilidad radica en un desbordamiento de búfer en el driver ODBC, lo que facilita el acceso sin autorización. cve-2026-48561 describe una grave vulnerabilidad en Microsoft Copilot que permite la ejecución remota de código mediante inyección de comandos. Esta falla compromete la integridad y seguridad del sistema afectado con un impacto crítico. cve-2026-49172 posee explotación activa confirmada por ejecución remota de código en Windows FTP Service, causada por un desbordamiento de buffer en el heap. Esta vulnerabilidad afecta sistemas Windows y compromete la integridad y seguridad. cve-2026-49798 describe una vulnerabilidad crítica en el núcleo de Windows que permite la elevación de privilegios local. Esta falla compromete la seguridad al permitir que atacantes escalen sus derechos y tomen control del sistema. cve-2026-50522 afecta a Microsoft Office SharePoint permitiendo ejecución remota de código mediante datos no confiables. Esta vulnerabilidad crítica puede dar control total a un atacante en el sistema afectado. cve-2026-54990 afecta a Microsoft Remote Desktop Client con un desbordamiento de búfer en el montón que permite la ejecución remota de código sin autorización. Esta vulnerabilidad es crítica con explotación activa confirmada, lo que la convierte en una amenaza urgente para los sistemas afectados. cve-2026-55008 describe una vulnerabilidad crítica de cross-site scripting en Microsoft Exchange Server que permite suplantación de identidad en red. Esta falla afecta la neutralización de entradas en la generación de páginas web, exponiendo a ataques activos. cve-2026-58644 es una vulnerabilidad crítica en Microsoft Office SharePoint que permite la ejecución remota de código debido a la deserialización de datos no confiables. Esto representa un riesgo alto para la seguridad de las redes en las que está desplegado el producto. cve-2026-59891 afecta a la biblioteca JavaScript sigstore-js con una vulnerabilidad crítica que permite la divulgación de credenciales por coincidencia incorrecta de host en Docker. Esto puede resultar en el envío de credenciales a registros no autorizados y representa un riesgo severo para la seguridad de los sistemas. cve-2026-50380 afecta al componente gráfico de Windows y permite la ejecución remota de código mediante un desbordamiento de búfer. Esta falla crítica pone en riesgo la integridad y seguridad del sistema operativo. cve-2026-50447 es una vulnerabilidad crítica de ejecución remota de código en Microsoft Windows Message Queuing. Permite a un atacante no autorizado ejecutar código a través de la red debido a un desbordamiento de búfer basado en montón. La explotación activa confirma su gravedad elevada. cve-2026-50518 describe un fallo crítico en Windows DHCP Server que permite la ejecución remota de código por desbordamiento de búfer en el heap. Esta vulnerabilidad es altamente severa y está siendo activamente explotada, representando un riesgo grave para la seguridad de redes. cve-2026-55010 afecta a Microsoft Minecraft Bedrock Dedicated Server con un desbordamiento de búfer que permite la ejecución remota de código sin autenticación. Es una vulnerabilidad crítica con explotación activa confirmada que pone en riesgo servidores de juegos en red. cve-2026-55040 describe una autenticación débil en Microsoft Office SharePoint permitiendo acceso no autorizado. Esta vulnerabilidad es crítica y puede ser explotada remotamente para evadir controles de seguridad. cve-2026-55944 permite la ejecución remota de código en Microsoft Dynamics NAV debido a la deserialización insegura de datos. Esta vulnerabilidad crítica expone al sistema a ataques remotos que comprometen su integridad y seguridad. cve-2026-56159 afecta al servidor DHCP de Windows con una vulnerabilidad crítica que permite la ejecución remota de código. Esta falla grave se debe a un desbordamiento de búfer en el montón que compromete la seguridad del sistema. Es fundamental abordar esta vulnerabilidad para proteger redes e infraestructuras. cve-2026-56188 es una vulnerabilidad crítica en el controlador de red de Windows Server que permite la ejecución remota de código por una condición de carrera. Esta falla afecta componentes esenciales de la red y podría comprometer sistemas empresariales. cve-2026-56190 afecta a Windows Remote Desktop Protocol permitiendo ejecución remota de código con control total del sistema. La vulnerabilidad es crítica y su explotación activa está confirmada, lo que representa un riesgo elevado para sistemas afectados. cve-2026-57092 afecta a Microsoft Windows VMSwitch, permitiendo la elevación de privilegios a través de la red mediante una vulnerabilidad de uso después de liberación. Su severidad crítica y explotación activa la convierten en una amenaza prioritaria. cve-2026-45063 afecta a Symfony Framework permitiendo suplantación de identidad por un fallo en la autenticación basada en certificados X509. Esta vulnerabilidad es crítica con un alto impacto en la seguridad de aplicaciones que usan este framework. cve-2026-13001 afecta a un plugin de WordPress permitiendo la carga arbitraria de archivos y la ejecución remota de código. Esta vulnerabilidad es crítica y explotada activamente, poniendo en riesgo la integridad del servidor donde se instala el plugin. cve-2026-48259 afecta a Adobe Experience Manager y permite la ejecución remota de código mediante solicitudes fraudulentas del servidor. Esta vulnerabilidad crítica no requiere interacción del usuario y puede dar lugar a un control elevado sobre la aplicación. cve-2026-48356 describe una falla crítica que permite la ejecución arbitraria de código en Adobe Commerce mediante la carga de archivos peligrosos sin restricción. Esta vulnerabilidad requiere interacción del usuario para su explotación y puede comprometer la cuenta o sesión del usuario afectado. cve-2026-48358 es una vulnerabilidad crítica en Adobe Commerce que permite la ejecución remota de código sin interacción del usuario. Esta falla se debe a un manejo incorrecto en la codificación o escape de la salida. cve-2026-48359 afecta a Adobe Experience Manager con una vulnerabilidad crítica que permite la ejecución remota de código y acceso a archivos sensibles sin necesidad de interacción. Este fallo compromete la integridad y confidencialidad del sistema, pudiendo ser explotado por atacantes con bajos privilegios. cve-2026-53633 describe una vulnerabilidad crítica en Vitest Browser Mode que permite la ejecución remota de código mediante la manipulación del protocolo Chrome DevTools. La falla afecta directamente a la seguridad del entorno de pruebas y ha sido confirmada su explotación activa. La solución está disponible en las últimas versiones del producto. cve-2026-15643 describe una vulnerabilidad crítica en el servidor Amazon AWS HealthLake MCP que permite la exfiltración de credenciales de seguridad mediante falsificación de solicitudes. Este fallo afecta a la paginación y puede ser explotado por usuarios autenticados para redirigir peticiones a servidores controlados por el atacante. cve-2026-15773 expone a Google Chrome a una vulnerabilidad crítica que permite a atacantes remotos escapar del sandbox y ejecutar código. La falla se debe a un error de uso después de liberar memoria, afectando a procesadores de contenido web. cve-2026-48284 afecta a Adobe ColdFusion permitiendo ejecución remota de código debido a una validación incorrecta de entradas. Esta vulnerabilidad es crítica y explotable sin interacción del usuario. cve-2026-48318 afecta a Adobe ColdFusion permitiendo la lectura arbitraria de archivos mediante recorrido de directorios. La vulnerabilidad es crítica con alta puntuación de severidad y explotación confirmada. cve-2026-48319 afecta a Adobe ColdFusion permitiendo ejecución arbitraria de código mediante salto de ruta, sin interacción del usuario y con alta severidad. Esta vulnerabilidad es crítica y explotable activamente, representando un riesgo grave para la seguridad del servidor y las aplicaciones alojadas. cve-2026-48321 describe una vulnerabilidad crítica de autorización en Adobe ColdFusion que permite la escalada de privilegios y el acceso no autorizado a datos. Esta falla representa un riesgo grave para sistemas que utilizan este servidor de aplicaciones. cve-2026-48322 afecta a Adobe ColdFusion, permitiendo ejecución arbitraria de código sin necesidad de interacción del usuario. Esta vulnerabilidad es crítica y presenta un riesgo alto para los sistemas afectados. cve-2026-48324 describe una vulnerabilidad crítica de inyección SQL en Adobe ColdFusion que permite la ejecución remota de código sin necesidad de interacción del usuario. Esta falla pone en riesgo sistemas que utilizan esta plataforma para desarrollo web por su severidad y facilidad de explotación. cve-2026-48325 afecta a Adobe ColdFusion permitiendo ejecución arbitraria de código sin necesidad de interacción. Esta vulnerabilidad crítica explota la ausencia de autenticación en funciones sensibles, poniendo en riesgo sistemas y datos. cve-2026-48327 afecta a Adobe ColdFusion permitiendo la ejecución arbitraria de código debido a un fallo en la autorización. Esta vulnerabilidad es crítica y puede ser explotada sin necesidad de interacción del usuario. cve-2026-53486 es una vulnerabilidad crítica en decompress de XhmikosR que permite la creación de archivos y enlaces fuera del directorio de extracción original. Esto posibilita la ejecución arbitraria de archivos con impacto severo para la seguridad del sistema. cve-2026-45363 afecta a la biblioteca ruby jwt y permite la aceptación de tokens falsificados debido a una falla en la verificación de firmas HMAC. Esta vulnerabilidad crítica compromete la autenticidad de los tokens JSON Web en aplicaciones que usan esta biblioteca. cve-2026-48334 afecta a Adobe Illustrator permitiendo ejecución arbitraria de código mediante archivos maliciosos. Se trata de una vulnerabilidad crítica con explotación activa confirmada que compromete la integridad del sistema y la seguridad del usuario. cve-2026-13385 describe una vulnerabilidad crítica en routers ASUS que permite la ejecución remota de código debido a fallos en la validación de certificados y valores de integridad, facilitando ataques man-in-the-middle. Esta vulnerabilidad pone en riesgo la seguridad completa del dispositivo y la red conectada.

Ayer21 min