Top Vulnerabilidades Críticas 12-06-2026

cve-2026-35273 afecta a Oracle PeopleSoft Enterprise PeopleTools permitiendo acceso no autorizado a funciones críticas. Esta vulnerabilidad es explotada activamente y representa un riesgo alto para la seguridad. cve-2026-10795 afecta a UpdraftPlus permitiendo la ejecución remota de código mediante la omisión de la validación de firmas criptográficas. Esta falla crítica refleja un problema grave de seguridad en sistemas de copia de seguridad de WordPress. cve-2026-4764 describe una vulnerabilidad crítica en Google Dialogflow CX que permite la escalada de privilegios y el control de proyectos en Google Cloud Platform mediante la importación de playbooks maliciosos. cve-2026-7852 afecta a LimRAD NAC de Limatek con riesgo crítico de ejecución remota de código mediante carga no segura de archivos. Esta vulnerabilidad pone en peligro la integridad y disponibilidad del sistema. cve-2026-38581 es una vulnerabilidad crítica que permite ejecución remota de comandos SQL en damasac thaipalliative_lte debido a inyección SQL por parámetros no sanitizados. cve-2026-11839 afecta a Rotaban y permite la carga libre de archivos dañinos, comprometiendo servidores web. La explotación puede llevar a la ejecución remota de código y control total del sistema. cve-2026-9648 describe una vulnerabilidad crítica en la librería crypton-x509-validation de Haskell que permite la suplantación de dominios mediante certificados fuera de los límites autorizados. Este fallo en la validación de restricciones de nombre en certificados X.509 representa un riesgo alto para la seguridad de conexiones TLS. cve-2026-49261 afecta a MariaDB server con ejecución remota de comandos debido a la función wsrep_notify_cmd habilitada. Esta vulnerabilidad crítica permite la ejecución de código remoto, representando un riesgo alto para la seguridad de bases de datos en entornos afectados. cve-2026-45177 afecta a CyberArk Idira Secrets Manager SaaS Edge permitiendo un bypass de autenticación y la obtención no autorizada de tokens de acceso por control de acceso deficiente. cve-2026-47172 describe una vulnerabilidad crítica en Quest Bot de duck-organization que permite ejecución remota de código mediante despliegue no autorizado. Esta falla afecta la seguridad del entorno de producción al permitir la creación y despliegue de contenedores maliciosos. cve-2026-47174 describe una vulnerabilidad crítica en Duck Site que permite la ejecución remota de código no autorizado en producción. La falla surge de una configuración que permite desplegar código de pull requests sin revisión. cve-2026-49973 describe una vulnerabilidad crítica en Hermes WebUI que permite el secuestro de la configuración inicial sin autenticación, comprometiendo el control de la plataforma. Este fallo de control de acceso expone el sistema a ataques remotos desde cualquier red accesible, autorizando el bloqueo del operador original y la persistencia de accesos no autorizados. cve-2026-41005 describe una vulnerabilidad crítica en VMware Cloud Foundry UAA que permite la omisión de la autenticación mediante la aceptación de aserciones SAML cifradas no firmadas. Este fallo compromete la integridad del proceso de autenticación al no validar adecuadamente las firmas digitales en flujos de autenticación. cve-2026-39494 afecta a un plugin de WordPress para filtros de productos, permitiendo inyección SQL ciega y ejecución remota de código. Esta vulnerabilidad se considera crítica por el alto impacto en la seguridad y la explotación confirmada. cve-2026-45171 permite la ejecución remota de código en CyberArk Idira Privileged Session Manager debido a una validación incompleta y permisos erróneos. Esta vulnerabilidad crítica compromete la seguridad del sistema con acceso privilegiado a través de un usuario con pocos derechos. cve-2026-42846 afecta a ClipBucket v5 permitiendo la ejecución remota de código por inyección de comandos en URLs manipuladas. Es una vulnerabilidad crítica con explotación activa confirmada que permite control total del sistema. La solución pasa por aplicar parches que evitan la concatenación insegura de parámetros. cve-2026-45060 expone a ClipBucket v5 a inyección SQL ciega permitiendo a usuarios no autenticados acceder a datos sensibles. Esta vulnerabilidad crítica requiere actualización urgente para prevenir filtraciones masivas.