Iurlek - Noticias Seguridad

Iurlek - Noticias Seguridad

Top Vulnerabilidades Críticas 19-06-2026

12 min · 19 de jun de 2026
Prueba gratis
Portada del episodio Top Vulnerabilidades Críticas 19-06-2026

Descripción

cve-2026-10735 afecta a Google Chrome con ejecución remota de código debido a corrupción de memoria. Esta vulnerabilidad permite la ejecución arbitraria de código y se reporta explotación activa. cve-2026-55740 afecta a la aplicación bus-ticket con una inyección SQL crítica que permite a atacantes leer datos sensibles sin autenticación previa. La vulnerabilidad se basa en la concatenación insegura de parámetros en consultas a la base de datos ejecutadas como usuario root. cve-2026-28573 afecta a Google Android y permite un bloqueo persistente del sistema mediante denegación de servicio local. Esta vulnerabilidad destaca por su severidad crítica y la ausencia de necesidad de interacción para su explotación. cve-2026-55742 describe una vulnerabilidad crítica en Cotonti que permite la elevación de privilegios por CSRF. Esta falla afecta a la gestión de permisos en el panel administrativo, facilitando el control total por parte de un atacante. cve-2025-10560 expone credenciales críticas en los binarios del cliente Worksnaps permitiendo acceso a recursos sensibles en la nube y manipulación de datos confidenciales. Esta vulnerabilidad de alta gravedad exige atención inmediata para mitigar accesos indebidos. cve-2026-11717 describe una vulnerabilidad crítica en Google mcp toolbox que permite eludir la autenticación por un error en la validación de tokens opacos. Esta falla puede conceder acceso no autorizado a recursos protegidos sin necesidad de credenciales válidas. cve-2026-11718 presenta una vulnerabilidad crítica en Google mcp toolbox que permite eludir la autentificación debido a una validación incorrecta de tokens. Esta falla puede permitir acceso con tokens emitidos por proveedores no autorizados. cve-2026-54419 describe una vulnerabilidad crítica de inyección SQL en PIAF-HMS, un sistema de gestión hotelera. Esta falla permite a atacantes remotos sin autenticación modificar o eliminar datos sensibles. La peligrosidad se debe a la ausencia total de mecanismos de protección contra la inyección. cve-2026-8024 es una vulnerabilidad crítica en sistemas Siemens de supervisión industrial que permite la ejecución remota y control total sin autenticación. La falla reside en la deserialización de datos no confiables, con explotación activa confirmada. cve-2026-38714 afecta a dispositivos de comunicaciones industriales permitiendo la ejecución remota de comandos con privilegios de administrador. La vulnerabilidad es crítica y tiene explotación confirmada. cve-2026-38715 describe una falla de inyección de comandos en dispositivos de red industriales de InHand Networks, permitiendo ejecución remota con privilegios elevados. Esta vulnerabilidad es crítica por su alta severidad y explotación confirmada, constituyendo un riesgo grave para la seguridad de sistemas afectados. cve-2026-38716 describe una vulnerabilidad crítica de inyección de comandos en dispositivos industriales de InHand Networks. Permite a atacantes remotos ejecutar código con privilegios elevados. Es una falla grave que compromete la seguridad del sistema. cve-2026-54103 afecta a un sistema electrónico oficial y permite el cambio remoto de contraseñas sin autenticación previa. Esta falla crítica facilita el control no autorizado completo de cuentas, poniendo en riesgo la integridad y confidencialidad de usuarios. cve-2026-55203 afecta críticamente a HAProxy permitiendo ataques de desincronización en el procesamiento FastCGI. Provoca graves problemas de enrutamiento y manipulación de respuestas en entornos vulnerables. cve-2026-56020 permite la suplantación de identidad en Webmin mediante cabeceras HTTP falsificadas para saltarse la autenticación con certificados SSL. Esta vulnerabilidad crítica afecta al control de acceso en servidores Webmin. cve-2026-54390 describe una vulnerabilidad crítica de inyección en plantillas del lado servidor en JTL Shop que permite la ejecución remota de código y la exposición de credenciales sensibles. Esta falla impacta severamente la integridad y confidencialidad del sistema. cve-2026-47846 detalla una grave vulnerabilidad en Bitnami Cassandra container images que permite mantener un superusuario por defecto activo sin eliminar. Esta situación crea vías adicionales de acceso no autorizado con privilegios de administrador. cve-2026-49252 afecta a deepstream.io con una vulnerabilidad crítica de Prototype Pollution que permite la escalada de privilegios de usuarios autenticados. Esta vulnerabilidad ha sido explotada activamente y requiere actualización inmediata a la versión segura. cve-2026-49257 permite acceso total no autorizado a clústeres Apache Pinot mediante un servidor MCP sin autenticación. La vulnerabilidad afecta severamente la seguridad del sistema, exponiendo datos y operaciones críticas a atacantes remotos. cve-2026-49454 describe una vulnerabilidad crítica en Relyra que permite la aceptación de firmas SAML falsificadas, comprometiendo la autenticación. Esta falla se debe a una verificación incompleta de la firma digital, que impacta directamente en la seguridad del mecanismo de autenticación de esta biblioteca. cve-2026-47647 describe una vulnerabilidad crítica en Microsoft Dynamics 365 que permite la escalada de privilegios mediante un control de acceso incorrecto. Esta falla posibilita que un atacante autorizado aumente su nivel de acceso en la red, comprometiendo la seguridad del sistema. cve-2026-54130 afecta a Microsoft 365 Copilot con una grave vulnerabilidad que permite la divulgación de información sin autenticación. Esta falla compromete la confidencialidad de datos sensibles mediante la explotación remota. cve-2026-12045 permite la ejecución arbitraria de sentencias SQL en pgAdmin 4 mediante bypass en transacciones de solo lectura. Esta vulnerabilidad crítica afecta la integridad de la base de datos y puede llevar a ejecución remota de código bajo ciertos privilegios. cve-2026-12046 afecta a pgadmin 4 permitiendo ejecución remota de código sin autenticación previa. La vulnerabilidad se debe a la deserialización de datos no confiables y la falta de protección en rutas críticas. Esto supone un riesgo grave de compromiso del servidor donde se ejecuta la aplicación. cve-2026-12048 identifica una grave vulnerabilidad de cross-site scripting en pgAdmin 4, que permite a atacantes redirigir usuarios desde la propia interfaz a sitios de phishing. La explotación pasa por inyección de código HTML en mensajes de error generados por servidores PostgreSQL comprometidos o manipulados. cve-2026-40624 describe una ejecución remota de código crítica en cámaras de AVer por mala validación de entradas. Esta vulnerabilidad permite control total remoto sin autenticación.

Comentarios

0

Sé la primera persona en comentar

¡Regístrate ahora y únete a la comunidad de Iurlek - Noticias Seguridad!

Prueba gratis

Empieza 7 días de prueba

$99 / mes después de la prueba. · Cancela cuando quieras.

  • Podcasts solo en Podimo
  • 20 horas de audiolibros al mes
  • Podcast gratuitos
Prueba gratis

Todos los episodios

100 episodios

episode Top Vulnerabilidades Críticas 26-06-2026 artwork

Top Vulnerabilidades Críticas 26-06-2026

cve-2026-12569 afecta a PTC Windchill and FlexPLM con una vulnerabilidad crítica en la validación de datos que permite ejecución remota de código. La explotación activa la convierte en una amenaza inmediata para los usuarios de este software de gestión del ciclo de vida del producto. cve-2024-41700 expone información sensible en Barix SIP Client Firmware permitiendo el acceso no autorizado. Esta vulnerabilidad crítica afecta la confidencialidad y tiene explotación activa confirmada. cve-2026-41566 afecta a Apache Kvrocks con una vulnerabilidad crítica de permisos insuficientes que permite escalada de privilegios. Se recomienda actualización para corregirla. cve-2026-46752 afecta a Apache Kvrocks con un desbordamiento crítico en la biblioteca cjson que permite ejecución remota de código. Es fundamental actualizar a una versión segura para evitar explotación activa de esta vulnerabilidad. cve-2026-41120 afecta a Dell Wyse Management Suite exponiendo a ejecución remota de código mediante datos no confiables aceptados junto a datos confiables. Esta falla crítica puede permitir a atacantes con acceso remoto controlar dispositivos gestionados. cve-2026-54823 afecta a un plugin de WordPress permitiendo ejecución remota de código. Esta vulnerabilidad es crítica con explotación confirmada, facilitando la toma total del sistema. cve-2026-54836 describe una inyección SQL crítica en el plugin YMC Filter para WordPress que permite ejecución remota de código y manipulación de datos. La explotación activa confirma el riesgo real para los sitios afectados. cve-2026-54843 expone una inyección SQL crítica en el plugin MDTF para WordPress, permitiendo acceso y manipulación de datos sin autenticación. Esta vulnerabilidad es altamente peligrosa dada su explotación activa. cve-2026-54849 afecta a Premmerce Wishlist for WooCommerce con una inyección SQL crítica no autenticada, que puede comprometer datos sensibles en la base de datos. Esta falla supone un riesgo alto para la seguridad de los sitios afectados. cve-2026-55413 describe una vulnerabilidad crítica en ToolJet que permite ejecución remota de código mediante la modificación maliciosa de plugins compartidos. Esta falla grave expone la plataforma a compromisos integrales del sistema. cve-2026-56123 describe una vulnerabilidad crítica en socat que permite un desbordamiento de memoria explotable remotamente. El fallo se produce por un error en el manejo del tamaño de nombre de dominio durante la conexión proxy, con riesgo de manipulación de memoria y posible ejecución remota de código. cve-2026-50548 describe una vulnerabilidad crítica en Cursor que permite ejecución remota de código fuera de la sandbox. La falla radica en la inadecuada validación del directorio de trabajo, comprometiendo la seguridad del sistema. cve-2026-50549 afecta a Cursor y permite ejecución remota de código al escribir fuera del espacio de trabajo sin aprobación, comprometiendo el sistema del usuario. Es una vulnerabilidad crítica que facilita ataques no sandboxeados y requiere atención inmediata. cve-2026-54088 afecta a File Browser y permite la ejecución remota de código mediante inyección en comandos de autenticación sin necesidad de acceso previo. Esta vulnerabilidad es crítica y explotada activamente, representando un riesgo severo para la seguridad de los sistemas afectados. cve-2026-54089 afecta a FileBrowser, permitiendo la suplantación de identidad y la creación no autorizada de cuentas sin credenciales. Esta vulnerabilidad crítica expone el control total del sistema a atacantes remotos. cve-2026-56786 afecta a RTKLIB con un desbordamiento de buffer que permite ejecución remota de código y denegación de servicio mediante mensajes manipulados en flujos de corrección. Esta vulnerabilidad crítica es explotada en entornos reales. cve-2026-57700 afecta al plugin OMGF Pro para Wordpress, permitiendo la subida sin control de archivos maliciosos que comprometen el servidor. La vulnerabilidad deriva en ejecución remota de código y control total del sistema afectado. cve-2025-71327 describe una vulnerabilidad crítica en Flowise que permite a atacantes remotos eludir la autenticación mediante un endpoint de registro desprotegido. Esto permite la creación de cuentas falsas y acceso completo a la API sin credenciales. cve-2025-71333 afecta a Flowise y permite la subida arbitraria de archivos sin autenticación, con riesgo de ejecución remota de código y toma de control. Esta vulnerabilidad es crítica y su explotación ha sido confirmada. cve-2025-71334 afecta a Flowise y permite la ejecución remota de código mediante acceso y escritura arbitraria de archivos. Esta vulnerabilidad crítica se aprovecha de la falta de validación en parámetros de entrada en endpoints específicos del framework. cve-2025-71336 afecta a Flowise con ejecución remota de código debido a ausencia de sandbox y controles de acceso. La vulnerabilidad permite el control total del servidor o contenedor donde se despliega la plataforma. cve-2025-71338 expone una grave vulnerabilidad en Flowise que permite la ejecución remota de código mediante un recorrido de ruta en parámetros no validados. Esta falla crítica afecta la integridad del sistema y ha sido explotada activamente. cve-2026-40702 afecta a sistemas de gestión de estaciones de carga por falta de autenticación en WebSocket. Permite acceso no autorizado y escalada de privilegios. La explotación es activa y crítica. cve-2026-9222 permite acceso total a la aplicación Setracker2 sin necesidad de la contraseña original. La falla se debe a un fallo en el manejo del hash de autenticación, lo que facilita la autenticación no autorizada. Esto representa un riesgo crítico para la seguridad de los dispositivos afectados.

26 de jun de 202612 min
episode Top Vulnerabilidades Críticas 25-06-2026 artwork

Top Vulnerabilidades Críticas 25-06-2026

cve-2026-7482 afecta a Ollama Ollama con una lectura fuera de límites que puede divulgar información sensible y provocar fallos. Esta vulnerabilidad tiene explotación confirmada y severidad crítica. cve-2026-56011 describe una vulnerabilidad crítica en Google Chrome que permite la ejecución remota de código y está siendo explotada activamente. Esta amenaza compromete la seguridad del usuario al permitir el control total del sistema afectado. cve-2021-27076 afecta a servidores de Microsoft, permitiendo ejecución remota de código sin autorización. Esta vulnerabilidad ha sido explotada activamente, representando un riesgo grave para la seguridad y control del servidor. cve-2021-28199 afecta al firmware asmb9-ikvm de asus y permite la ejecución remota de código debido a un desbordamiento de búfer. Esta vulnerabilidad crítica está siendo explotada activamente, incrementando el riesgo para sistemas afectados. cve-2026-12485 permite ejecución remota de código en el dispositivo GV I O Box 4E a través de un desbordamiento de pila causado por el manejo incorrecto de datos en el campo IP. La vulnerabilidad expone el sistema a un compromiso total por mensajes UDP no autenticados. cve-2026-12486 afecta a dispositivos GeoVision GV I O Box 4E. Esta vulnerabilidad permite la ejecución remota de comandos mediante entradas de red maliciosas. Representa un riesgo crítico debido a la falta de validación en comandos del sistema. cve-2026-12846 describe una vulnerabilidad crítica de desbordamiento de pila en GV I O Box 4E que permite la ejecución remota de código. Esta falla pone en riesgo la integridad y disponibilidad de los sistemas que usan este dispositivo embebido. cve-2026-12847 afecta a dispositivos GV-I/O Box 4E. Esta vulnerabilidad permite ejecución remota de código mediante desbordamiento de pila controlado por el atacante. El ataque se realiza a través del envío de mensajes UDP al servicio activo en el dispositivo. cve-2026-12848 afecta a dispositivos embebidos con control remoto, permitiendo ejecución remota de código mediante un desbordamiento de pila en el manejo de cadenas DNS. Es una vulnerabilidad crítica con explotación activa confirmada. cve-2026-12849 afecta a GeoVision GV I O Box 4E permitiendo ejecución remota de comandos por inyección en la configuración de red. Esta vulnerabilidad es crítica y explotable vía red mediante paquetes manipulados. Se recomienda actualizar o mitigar este fallo para evitar compromisos del sistema. cve-2026-12850 expone una inyección de comandos crítica en GeoVision GV-I O Box 4E, permitiendo ejecución remota a través de red. Esta vulnerabilidad afecta configuraciones de red y representa un riesgo alto para dispositivos de control de vídeo en red. cve 2026 12851 afecta a GeoVision GV I O Box 4E con inyección de comandos críticos mediante configuración DNS sin sanitizar. La vulnerabilidad permite ejecución remota de código y ha sido explotada activamente. Es una amenaza crítica para dispositivos de videovigilancia conectados a red. cve-2026-12416 afecta a un popular plugin de WordPress permitiendo secuestro de cuentas mediante restablecimiento de contraseña sin verificación. Esta falla permite a atacantes cambiar contraseñas sin autorización, incluso en cuentas administrativas. cve-2026-12417 describe una grave vulnerabilidad en un plugin de autenticación para WordPress que permite la toma de control completa de cuentas sin necesidad de autenticación previa. La falla reside en una validación insuficiente del código de restablecimiento de contraseña, exponiendo los sitios afectados a ataques activos y escalada de privilegios. cve-2026-56223 describe una vulnerabilidad crítica en Capgo que permite la toma de control completa de cuentas mediante ataques de suplantación SSO. Esta falla vulnera la validación de proveedores SSO y afecta directamente la seguridad organizativa y de datos. cve-2026-56237 expone una falla crítica en la generación de claves API en Capgo. Esta vulnerabilidad permite la creación y uso de claves no autorizadas, comprometiendo la seguridad del sistema y permitiendo accesos indebidos. cve-2026-12537 permite la ejecución remota de código en Google Gemini CLI y su acción asociada en GitHub. Esta vulnerabilidad afecta la seguridad de entornos de integración continua al permitir control a nivel de host a atacantes sin privilegios. cve-2026-56121 expone una vulnerabilidad crítica de ejecución remota de código en Feast. Un atacante puede aprovechar la deserialización insegura para ejecutar comandos arbitrarios sin autenticación previa, comprometiento la seguridad del sistema. cve-2026-13028 afecta a Google Chrome con una vulnerabilidad crítica que permite la ejecución libre tras liberación en WebGL y posibilita el escape del sandbox. Esta falla es explotada activamente mediante páginas HTML diseñadas para atacar dispositivos Android. cve-2026-13032 describe una vulnerabilidad crítica en Google Chrome para Android que permite la ejecución remota de código y el escape de sandbox mediante WebGL. La explotación activa confirmada hace que sea una amenaza prioritaria en entornos móviles. cve-2026-49980 afecta a Rclone y permite la ejecución remota de comandos sin autenticación, representando un riesgo crítico para la seguridad en la gestión de archivos en la nube. cve-2026-53943 afecta a Ghost CMS y permite envenenamiento de caché con control sobre cuentas del personal. La vulnerabilidad permite manipular contenido cacheado y secuestrar sesiones administrativas en configuraciones específicas. cve-2026-33543 describe una vulnerabilidad crítica en FOSSBilling que permite la creación y autenticación no autorizada de cuentas administrativas. Esta falla facilita la toma total del control del sistema por un atacante. cve-2026-45688 afecta a Rocket Chat y permite la escalada completa de privilegios mediante la manipulación de consultas en MongoDB. Esta vulnerabilidad crítica permite a atacantes no autenticados obtener tokens válidos de usuarios y administradores. cve-2026-45689 afecta a Rocket Chat y permite a atacantes sin autenticar obtener tokens de acceso válidos para cualquier usuario, incluyendo administradores, comprometiendo así la seguridad completa del sistema y permitiendo ejecución remota de código con privilegios elevados. cve-2026-46423 afecta a Rocket Chat y permite eludir la autenticación mediante fallos en la validación de firmas SAML cuando falta un certificado obligatorio. Este fallo grave compromete la seguridad de la plataforma de comunicaciones y permite acceso remoto sin control. cve-2026-52806 afecta a Gogs y permite ejecución remota de código mediante inyección en git rebase. La vulnerabilidad aprovecha la manipulación de nombres de ramas en solicitudes de extracción. Este fallo crítico compromete la seguridad del servidor Git autoalojado. cve-2026-52811 afecta a Gogs y permite ejecución remota de código debido a una mala gestión de enlaces simbólicos. Esta vulnerabilidad tiene explotación activa confirmada y severidad crítica, comprometiendo la integridad y seguridad del sistema. cve-2026-52813 afecta a Gogs y permite ejecución remota de código mediante manipulaciones de rutas en nombres de organización. Esta vulnerabilidad crítica impacta directamente en la integridad y seguridad del sistema de archivos, facilitando ataques remotos. cve-2026-39893 expone una vulnerabilidad crítica de inyección SQL en Cacti, permitiendo ejecución remota sin autenticación previa. Esta falla compromete la seguridad del sistema al permitir manipulación directa en la base de datos. La gestión insegura de variables en peticiones web es el origen del problema. cve-2026-50551 afecta a Siyuan SiYuan permitiendo ejecución remota de código debido a una vulnerabilidad de cross-site scripting. Esta falla crítica permite a un atacante ejecutar código en el cliente de escritorio Electron. La vulnerabilidad se corrige en la versión 3.7.0 del producto. cve-2026-54067 afecta a SiYuan permitiendo ejecución remota de código mediante inyección en fragmentos CSS. La vulnerabilidad permite a atacantes ejecutar código arbitrario en el sistema del usuario haciéndose con el control completo. cve-2026-54069 afecta a SiYuan Note permitiendo acceso administrativo a través de extensiones de navegador sin autenticación. Esta vulnerabilidad permite exfiltrar datos, ejecutar ataques XSS y alterar configuraciones. Se trata de un fallo crítico de escalada de privilegios con explotación activa confirmada. cve-2026-54158 afecta a SiYuan y permite la ejecución remota de código mediante inyección de JavaScript en el renderizador de celdas. Esta vulnerabilidad crítica permite a un atacante ejecutar código arbitrario en el sistema afectado con alto nivel de privilegios. cve-2026-55454 describe un fallo crítico en Appsmith que permite la toma completa del proxy inverso mediante una petición no autenticada. Este defecto permite la ejecución remota de código y control total de la configuración del servidor. cve-2026-55570 afecta a SiYuan y permite la ejecución remota de comandos debido a un fallo en el escape de datos en el cliente de escritorio. La vulnerabilidad permite un ataque de inyección HTML que escala a ejecución de código arbitario en el sistema operativo. cve-2026-55666 afecta a Rocket Chat y permite la toma de control de cuentas mediante la manipulación del flujo de autenticación con Apple. Esta vulnerabilidad crítica explota la falta de validación adecuada del correo electrónico en tokens JWT, comprometendo la seguridad de usuarios en la plataforma. cve-2026-39938 es una vulnerabilidad crítica de inclusión de archivos en Cacti que permite la ejecución remota de código sin autenticación. Afecta a versiones anteriores a 1.2.31 y tiene un impacto muy grave en la seguridad del sistema. cve-2026-39948 afecta a Cacti y permite inyección SQL sin autenticación, comprometiendo la base de datos. Esta vulnerabilidad es crítica y permite acceso no autorizado a información sensible. cve-2026-39955 afecta a Cacti produciendo una inyección SQL crítica que permite ejecución remota de código sin necesidad de autenticación.

Ayer19 min