Iurlek - Noticias Seguridad

Top Vulnerabilidades Críticas 02-07-2026

22 min · 2 de jul de 2026
Portada del episodio Top Vulnerabilidades Críticas 02-07-2026

Descripción

cve-2026-11387 describe una vulnerabilidad crítica en un plugin de WordPress para WooCommerce que permite la escalada de privilegios mediante la toma de control de cuentas al no validar correctamente la identidad del usuario. cve-2026-14198 afecta a Fastify, permitiendo eludir controles de middleware mediante la manipulación de rutas. El fallo provoca que middleware de seguridad no se aplique correctamente, abriendo un vector para ataques sin autenticación. La solución pasa por actualizar el paquete o evitar middleware en rutas parametrizadas para decisiones críticas. cve-2026-13603 afecta a pretix-oppwa, permitiendo la filtración del token de acceso debido a una validación insuficiente de URL. Esta vulnerabilidad crítica permite acceso no autorizado a datos de pago sensibles y requiere actualización inmediata y renovación del token. cve-2026-57692 describe una vulnerabilidad crítica en el plugin PrivateContent de WordPress que permite la escalada de privilegios debido a una asignación incorrecta de permisos. Esta falla afecta directamente la seguridad al permitir a usuarios obtener permisos no autorizados. cve-2026-23537 afecta a Feast Feature Server con una vulnerabilidad crítica que permite la escritura arbitraria de archivos sin autenticación, poniendo en riesgo la integridad y disponibilidad del sistema. Esta falla puede ser explotada para ejecutar código remoto o causar denegación de servicio. cve-2025-15646 expone una falla crítica en la biblioteca Gumbo HTML que permite la divulgación de memoria debido a un manejo incorrecto del elemento template. Esta vulnerabilidad puede comprometer información sensible mediante explotación activa. cve-2025-23350 afecta a dispositivos NVIDIA ConnectX y BlueField, permitiendo la ejecución arbitraria de código mediante una escritura fuera de límites. Esta vulnerabilidad crítica tiene explotación activa confirmada, representando un riesgo grave para la seguridad del hardware de red y aceleración. cve-2025-23351 afecta a dispositivos de red NVIDIA ConnectX y BlueField, permitiendo ejecución remota de código mediante desbordamiento de escritura causado por acceso a funciones virtuales. Es una vulnerabilidad crítica con explotación confirmada que compromete la seguridad del dispositivo. cve-2026-24270 describe una vulnerabilidad crítica en NVIDIA AIStore framework que permite saltarse la autenticación y provocar daños graves como escalada de privilegios y divulgación de datos. La explotación activa confirmada de esta falla exige atención inmediata. cve-2026-57517 afecta a Control Web Panel permitiendo ejecución remota de código mediante una inyección SQL ciega. Esta vulnerabilidad crítica posibilita a atacantes no autenticados manipular consultas SQL y obtener acceso remoto con privilegios elevados. cve-2026-58126 afecta a P A C Sgear PACS Scan permitiendo ejecución remota de código sin necesidad de autenticación mediante un servicio TCP expuesto y DLL hijacking. Es una vulnerabilidad crítica con impacto en la seguridad total del sistema. cve-2026-58127 afecta a PACSgear MediaWriter con ejecución remota de código crítica. Permite a atacantes sin autenticación controlar el sistema con privilegios elevados. Es una vulnerabilidad grave que vuelve inseguro el ambiente del servicio afectado. cve-2026-34099 expone una inyección SQL crítica en Guardian language-system que permite extraer datos sensibles sin autenticación. La vulnerabilidad afecta la seguridad de las bases de datos y puede ser explotada activamente por atacantes. cve-2026-34100 afecta a Guardian language-system con una inyección SQL crítica que permite extraer datos sin autorización. La explotación activa confirmada la convierte en una amenaza inmediata para la seguridad de los sistemas afectados. cve-2026-34101 describe una inyección SQL crítica en Guardian language-system. Esta falla permite a un atacante autenticado extraer contenidos de la base de datos mediante consultas manipuladas. La amenaza es altamente crítica debido al acceso directo a información sensible. cve-2026-34102 expone una crítica inyección SQL en Guardian language-system que permite extraer datos confidenciales a atacantes autenticados. cve-2026-34103 afecta a Guardian language-system por una inyección SQL que permite extraer datos de la base de datos. Esta vulnerabilidad es crítica y tiene explotación confirmada, requiriendo atención inmediata para evitar divulgación de información sensible. cve-2026-34104 es una vulnerabilidad crítica que permite la inyección SQL en Guardian language-system, resultando en la posible extracción de datos sensibles mediante ejecución remota de consultas maliciosas. cve-2026-34105 es una vulnerabilidad crítica de inyección SQL en Guardian language-system que permite la extracción no autorizada de datos a través de un parámetro sin sanitizar. Es una falla que compromete la confidencialidad de la base de datos con explotación confirmada. cve-2026-34106 expone un sistema de gestión de subtítulos a ejecución remota de comandos en el servidor sin autenticación requerida. Esto permite a atacantes remotos ejecutar código arbitrario con consecuencias graves para la seguridad del sistema. cve-2026-34107 permite a atacantes remotos ejecutar comandos arbitrarios sin autenticación en Guardian language-system. La vulnerabilidad se debe a la falta de saneamiento en parámetros PHP que permite la ejecución de código malicioso. Este fallo crítico pone en riesgo la integridad completa del servidor afectado. cve-2026-34108 expone ejecución remota de código en Guardian language-system debido a parámetros no sanitizados. La vulnerabilidad permite a atacantes no autenticados ejecutar comandos arbitrarios en el servidor, causando un alto riesgo de compromiso. cve-2026-34109 afecta a Guardian Language-System con ejecución remota de comandos mediante inyección en parámetros no sanitizados, permitiendo comandos arbitrarios sin autenticación. Esta vulnerabilidad es crítica y explotada activamente, poniendo en riesgo la integridad del servidor. cve-2026-34110 permite ejecución remota de comandos sin autenticación en Guardian language-system por inyección en parámetros PHP. Representa un riesgo crítico para la integridad del servidor y su operación segura. cve-2026-34111 describe una vulnerabilidad crítica en Guardian language-system que permite la ejecución remota de comandos sin autenticación. Esta falla permite a atacantes ejecutar código arbitrario en el servidor de forma remota. cve-2026-34112 expone un fallo crítico en Guardian language-system que permite ejecución remota de código sin autenticación. Esta vulnerabilidad pone en riesgo el control total del servidor afectado. cve-2026-34113 expone una ejecución remota de código en Guardian language-system debido a la falta de saneamiento en parámetros de entrada, permitiendo comandos arbitrarios sin autenticación. cve-2026-34114 permite la ejecución remota de código en un sistema de traducción de texto, facilitando a un atacante acceso completo al servidor sin autenticación. cve-2026-34115 afecta a Guardian language-system, permitiendo ejecución remota de código a través de inyección de comandos sin autenticación. La vulnerabilidad es crítica y explotación activa ha sido confirmada. cve-2026-34116 afecta a Guardian language-system permitiendo ejecución remota de comandos sin autenticación. Esta vulnerabilidad crítica compromete la seguridad del servidor permitiendo control total a atacantes remotos. cve-2026-34117 es una vulnerabilidad crítica que permite la ejecución remota de código en Guardian language-system. Un atacante sin autenticar puede controlar el servidor mediante comandos maliciosos. Esta falla representa un riesgo grave para la seguridad de los sistemas afectados. cve-2026-58453 permite acceso no autorizado total a cámaras IP Wi-Fi de JAIOTlink, comprometiendo imágenes, vídeos y configuración. Es una vulnerabilidad crítica con explotación activa que facilita control remoto completo por credenciales predeterminadas. cve-2026-50160 afecta a Hoppscotch permitiendo a atacantes no autenticados tomar control del servidor mediante sobrescritura de claves secretas. Es una vulnerabilidad crítica de asignación masiva con impacto total en la seguridad del servicio. cve-2026-58457 permite ejecutar comandos arbitrarios con privilegios root en el repetidor Shenzhen Aitemi M300 Wi-Fi. La vulnerabilidad se aprovecha mediante parámetros GET sin sanitizar en el dispositivo. Su criticidad es máxima por el completo control que otorga al atacante. cve-2026-14382 permite la ejecución remota de código en Google Chrome debido a una falla en la validación de entradas en ANGLE. Esta vulnerabilidad crítica puede permitir la ruptura del sandbox, comprometiendo la seguridad del sistema del usuario. cve-2026-14387 es una vulnerabilidad crítica en Google Chrome que permite la evasión del sandbox a través de un desbordamiento de entero. Esta falla afecta a la biblioteca gráfica Skia, usada para procesar contenido web. La explotación activa de esta vulnerabilidad hace que sea prioritario aplicar la actualización correspondiente. cve-2026-14390 afecta a Google Chrome y permite la ejecución remota de código con escape de sandbox a través de una página HTML maliciosa. Esta vulnerabilidad es crítica y tiene una alta puntuación de severidad, representando un riesgo significativo para los usuarios del navegador. cve-2026-14392 permite la ejecución remota de código mediante evasión de sandbox en Google Chrome. Esta vulnerabilidad de severidad crítica destaca por su explotación activa y su impacto en la seguridad del navegador. cve-2026-14397 es una vulnerabilidad crítica en Google Chrome que permite una evasión del sandbox mediante una escritura fuera de límites. Esta falla afecta la seguridad del navegador y es explotada activamente. cve-2026-14398 afecta a Google Chrome permitiendo una posible ejecución remota de código y escape de sandbox. Se trata de una vulnerabilidad crítica con explotación activa confirmada basada en un uso después de liberación en ANGLE. cve-2026-14405 afecta a Google Chrome permitiendo ejecución remota de código mediante uso de memoria no inicializada. La vulnerabilidad tiene una severidad crítica con impacto en la seguridad del navegador. cve-2026-14411 muestra una vulnerabilidad crítica en Google Chrome que permite un escape de sandbox mediante entradas maliciosas. Esta falla expone al navegador a riesgos de ejecución remota de código con altos privilegios. cve-2026-14416 es una vulnerabilidad crítica en Google Chrome que permite la evasión de la jaula de seguridad mediante una lectura fuera de límites en el navegador. La amenaza es severa y puede ser explotada remotamente. cve-2026-14417 afecta a Google Chrome con una vulnerabilidad crítica de uso tras liberación que permite evasión del sandbox y ejecución remota de código. cve-2026-14419 afecta a Google Chrome y permite una posible evasión del sandbox a través de una página HTML manipulada. Es una vulnerabilidad crítica que ha sido explotada activamente, poniendo en riesgo la seguridad de los usuarios. cve-2026-14420 afecta a Google Chrome permitiendo un escape de sandbox mediante lectura y escritura fuera de límites en el motor Dawn. Esta vulnerabilidad es altamente crítica y explotable remotamente debido a un error en el manejo de memoria. cve-2026-14423 expone a Google Chrome a una grave vulnerabilidad de confusión de tipos que permite escapar del sandbox del navegador. Esta falla es crítica y su explotación ya ha sido confirmada en ataques reales. cve-2026-14424 afecta a Google Chrome permitiendo escape de sandbox por uso después de liberación de memoria. Esta vulnerabilidad crítica pone en riesgo la seguridad mediante páginas web manipuladas. cve-2026-14425 afecta a Google Chrome con una vulnerabilidad que permite la evasión del sandbox mediante una página HTML manipulada. Esta falla grave facilita la ejecución remota de código con privilegios elevados. cve-2026-14439 describe una vulnerabilidad crítica en productos de Altium que permite ejecución remota de código mediante path traversal en el servicio Git. La falla afecta a entornos multi-inquilino y permite acceso no autorizado a datos sensibles. Se han aplicado mitigaciones en versiones concretas y despliegues compartidos.

Comentarios

0

Sé la primera persona en comentar

¡Regístrate ahora y únete a la comunidad de Iurlek - Noticias Seguridad!

Prueba gratis

Empieza 7 días de prueba

$99 / mes después de la prueba. · Cancela cuando quieras.

  • Podcasts solo en Podimo
  • 20 horas de audiolibros al mes
  • Podcast gratuitos

Todos los episodios

100 episodios

episode Top Vulnerabilidades Críticas 02-07-2026 artwork

Top Vulnerabilidades Críticas 02-07-2026

cve-2026-11387 describe una vulnerabilidad crítica en un plugin de WordPress para WooCommerce que permite la escalada de privilegios mediante la toma de control de cuentas al no validar correctamente la identidad del usuario. cve-2026-14198 afecta a Fastify, permitiendo eludir controles de middleware mediante la manipulación de rutas. El fallo provoca que middleware de seguridad no se aplique correctamente, abriendo un vector para ataques sin autenticación. La solución pasa por actualizar el paquete o evitar middleware en rutas parametrizadas para decisiones críticas. cve-2026-13603 afecta a pretix-oppwa, permitiendo la filtración del token de acceso debido a una validación insuficiente de URL. Esta vulnerabilidad crítica permite acceso no autorizado a datos de pago sensibles y requiere actualización inmediata y renovación del token. cve-2026-57692 describe una vulnerabilidad crítica en el plugin PrivateContent de WordPress que permite la escalada de privilegios debido a una asignación incorrecta de permisos. Esta falla afecta directamente la seguridad al permitir a usuarios obtener permisos no autorizados. cve-2026-23537 afecta a Feast Feature Server con una vulnerabilidad crítica que permite la escritura arbitraria de archivos sin autenticación, poniendo en riesgo la integridad y disponibilidad del sistema. Esta falla puede ser explotada para ejecutar código remoto o causar denegación de servicio. cve-2025-15646 expone una falla crítica en la biblioteca Gumbo HTML que permite la divulgación de memoria debido a un manejo incorrecto del elemento template. Esta vulnerabilidad puede comprometer información sensible mediante explotación activa. cve-2025-23350 afecta a dispositivos NVIDIA ConnectX y BlueField, permitiendo la ejecución arbitraria de código mediante una escritura fuera de límites. Esta vulnerabilidad crítica tiene explotación activa confirmada, representando un riesgo grave para la seguridad del hardware de red y aceleración. cve-2025-23351 afecta a dispositivos de red NVIDIA ConnectX y BlueField, permitiendo ejecución remota de código mediante desbordamiento de escritura causado por acceso a funciones virtuales. Es una vulnerabilidad crítica con explotación confirmada que compromete la seguridad del dispositivo. cve-2026-24270 describe una vulnerabilidad crítica en NVIDIA AIStore framework que permite saltarse la autenticación y provocar daños graves como escalada de privilegios y divulgación de datos. La explotación activa confirmada de esta falla exige atención inmediata. cve-2026-57517 afecta a Control Web Panel permitiendo ejecución remota de código mediante una inyección SQL ciega. Esta vulnerabilidad crítica posibilita a atacantes no autenticados manipular consultas SQL y obtener acceso remoto con privilegios elevados. cve-2026-58126 afecta a P A C Sgear PACS Scan permitiendo ejecución remota de código sin necesidad de autenticación mediante un servicio TCP expuesto y DLL hijacking. Es una vulnerabilidad crítica con impacto en la seguridad total del sistema. cve-2026-58127 afecta a PACSgear MediaWriter con ejecución remota de código crítica. Permite a atacantes sin autenticación controlar el sistema con privilegios elevados. Es una vulnerabilidad grave que vuelve inseguro el ambiente del servicio afectado. cve-2026-34099 expone una inyección SQL crítica en Guardian language-system que permite extraer datos sensibles sin autenticación. La vulnerabilidad afecta la seguridad de las bases de datos y puede ser explotada activamente por atacantes. cve-2026-34100 afecta a Guardian language-system con una inyección SQL crítica que permite extraer datos sin autorización. La explotación activa confirmada la convierte en una amenaza inmediata para la seguridad de los sistemas afectados. cve-2026-34101 describe una inyección SQL crítica en Guardian language-system. Esta falla permite a un atacante autenticado extraer contenidos de la base de datos mediante consultas manipuladas. La amenaza es altamente crítica debido al acceso directo a información sensible. cve-2026-34102 expone una crítica inyección SQL en Guardian language-system que permite extraer datos confidenciales a atacantes autenticados. cve-2026-34103 afecta a Guardian language-system por una inyección SQL que permite extraer datos de la base de datos. Esta vulnerabilidad es crítica y tiene explotación confirmada, requiriendo atención inmediata para evitar divulgación de información sensible. cve-2026-34104 es una vulnerabilidad crítica que permite la inyección SQL en Guardian language-system, resultando en la posible extracción de datos sensibles mediante ejecución remota de consultas maliciosas. cve-2026-34105 es una vulnerabilidad crítica de inyección SQL en Guardian language-system que permite la extracción no autorizada de datos a través de un parámetro sin sanitizar. Es una falla que compromete la confidencialidad de la base de datos con explotación confirmada. cve-2026-34106 expone un sistema de gestión de subtítulos a ejecución remota de comandos en el servidor sin autenticación requerida. Esto permite a atacantes remotos ejecutar código arbitrario con consecuencias graves para la seguridad del sistema. cve-2026-34107 permite a atacantes remotos ejecutar comandos arbitrarios sin autenticación en Guardian language-system. La vulnerabilidad se debe a la falta de saneamiento en parámetros PHP que permite la ejecución de código malicioso. Este fallo crítico pone en riesgo la integridad completa del servidor afectado. cve-2026-34108 expone ejecución remota de código en Guardian language-system debido a parámetros no sanitizados. La vulnerabilidad permite a atacantes no autenticados ejecutar comandos arbitrarios en el servidor, causando un alto riesgo de compromiso. cve-2026-34109 afecta a Guardian Language-System con ejecución remota de comandos mediante inyección en parámetros no sanitizados, permitiendo comandos arbitrarios sin autenticación. Esta vulnerabilidad es crítica y explotada activamente, poniendo en riesgo la integridad del servidor. cve-2026-34110 permite ejecución remota de comandos sin autenticación en Guardian language-system por inyección en parámetros PHP. Representa un riesgo crítico para la integridad del servidor y su operación segura. cve-2026-34111 describe una vulnerabilidad crítica en Guardian language-system que permite la ejecución remota de comandos sin autenticación. Esta falla permite a atacantes ejecutar código arbitrario en el servidor de forma remota. cve-2026-34112 expone un fallo crítico en Guardian language-system que permite ejecución remota de código sin autenticación. Esta vulnerabilidad pone en riesgo el control total del servidor afectado. cve-2026-34113 expone una ejecución remota de código en Guardian language-system debido a la falta de saneamiento en parámetros de entrada, permitiendo comandos arbitrarios sin autenticación. cve-2026-34114 permite la ejecución remota de código en un sistema de traducción de texto, facilitando a un atacante acceso completo al servidor sin autenticación. cve-2026-34115 afecta a Guardian language-system, permitiendo ejecución remota de código a través de inyección de comandos sin autenticación. La vulnerabilidad es crítica y explotación activa ha sido confirmada. cve-2026-34116 afecta a Guardian language-system permitiendo ejecución remota de comandos sin autenticación. Esta vulnerabilidad crítica compromete la seguridad del servidor permitiendo control total a atacantes remotos. cve-2026-34117 es una vulnerabilidad crítica que permite la ejecución remota de código en Guardian language-system. Un atacante sin autenticar puede controlar el servidor mediante comandos maliciosos. Esta falla representa un riesgo grave para la seguridad de los sistemas afectados. cve-2026-58453 permite acceso no autorizado total a cámaras IP Wi-Fi de JAIOTlink, comprometiendo imágenes, vídeos y configuración. Es una vulnerabilidad crítica con explotación activa que facilita control remoto completo por credenciales predeterminadas. cve-2026-50160 afecta a Hoppscotch permitiendo a atacantes no autenticados tomar control del servidor mediante sobrescritura de claves secretas. Es una vulnerabilidad crítica de asignación masiva con impacto total en la seguridad del servicio. cve-2026-58457 permite ejecutar comandos arbitrarios con privilegios root en el repetidor Shenzhen Aitemi M300 Wi-Fi. La vulnerabilidad se aprovecha mediante parámetros GET sin sanitizar en el dispositivo. Su criticidad es máxima por el completo control que otorga al atacante. cve-2026-14382 permite la ejecución remota de código en Google Chrome debido a una falla en la validación de entradas en ANGLE. Esta vulnerabilidad crítica puede permitir la ruptura del sandbox, comprometiendo la seguridad del sistema del usuario. cve-2026-14387 es una vulnerabilidad crítica en Google Chrome que permite la evasión del sandbox a través de un desbordamiento de entero. Esta falla afecta a la biblioteca gráfica Skia, usada para procesar contenido web. La explotación activa de esta vulnerabilidad hace que sea prioritario aplicar la actualización correspondiente. cve-2026-14390 afecta a Google Chrome y permite la ejecución remota de código con escape de sandbox a través de una página HTML maliciosa. Esta vulnerabilidad es crítica y tiene una alta puntuación de severidad, representando un riesgo significativo para los usuarios del navegador. cve-2026-14392 permite la ejecución remota de código mediante evasión de sandbox en Google Chrome. Esta vulnerabilidad de severidad crítica destaca por su explotación activa y su impacto en la seguridad del navegador. cve-2026-14397 es una vulnerabilidad crítica en Google Chrome que permite una evasión del sandbox mediante una escritura fuera de límites. Esta falla afecta la seguridad del navegador y es explotada activamente. cve-2026-14398 afecta a Google Chrome permitiendo una posible ejecución remota de código y escape de sandbox. Se trata de una vulnerabilidad crítica con explotación activa confirmada basada en un uso después de liberación en ANGLE. cve-2026-14405 afecta a Google Chrome permitiendo ejecución remota de código mediante uso de memoria no inicializada. La vulnerabilidad tiene una severidad crítica con impacto en la seguridad del navegador. cve-2026-14411 muestra una vulnerabilidad crítica en Google Chrome que permite un escape de sandbox mediante entradas maliciosas. Esta falla expone al navegador a riesgos de ejecución remota de código con altos privilegios. cve-2026-14416 es una vulnerabilidad crítica en Google Chrome que permite la evasión de la jaula de seguridad mediante una lectura fuera de límites en el navegador. La amenaza es severa y puede ser explotada remotamente. cve-2026-14417 afecta a Google Chrome con una vulnerabilidad crítica de uso tras liberación que permite evasión del sandbox y ejecución remota de código. cve-2026-14419 afecta a Google Chrome y permite una posible evasión del sandbox a través de una página HTML manipulada. Es una vulnerabilidad crítica que ha sido explotada activamente, poniendo en riesgo la seguridad de los usuarios. cve-2026-14420 afecta a Google Chrome permitiendo un escape de sandbox mediante lectura y escritura fuera de límites en el motor Dawn. Esta vulnerabilidad es altamente crítica y explotable remotamente debido a un error en el manejo de memoria. cve-2026-14423 expone a Google Chrome a una grave vulnerabilidad de confusión de tipos que permite escapar del sandbox del navegador. Esta falla es crítica y su explotación ya ha sido confirmada en ataques reales. cve-2026-14424 afecta a Google Chrome permitiendo escape de sandbox por uso después de liberación de memoria. Esta vulnerabilidad crítica pone en riesgo la seguridad mediante páginas web manipuladas. cve-2026-14425 afecta a Google Chrome con una vulnerabilidad que permite la evasión del sandbox mediante una página HTML manipulada. Esta falla grave facilita la ejecución remota de código con privilegios elevados. cve-2026-14439 describe una vulnerabilidad crítica en productos de Altium que permite ejecución remota de código mediante path traversal en el servicio Git. La falla afecta a entornos multi-inquilino y permite acceso no autorizado a datos sensibles. Se han aplicado mitigaciones en versiones concretas y despliegues compartidos.

2 de jul de 202622 min
episode Top Vulnerabilidades Críticas 01-07-2026 artwork

Top Vulnerabilidades Críticas 01-07-2026

cve-2018-8007 afecta a Apache CouchDB permitiendo ejecutar acciones no autorizadas a través de una validación inadecuada de entradas. Esta vulnerabilidad es crítica y se está explotando activamente, generando riesgos elevados para la integridad y disponibilidad de los datos. cve-2026-12073 permite la toma de control de cuentas administrativas en WordPress mediante un fallo en el plugin ProfileGrid. Esta vulnerabilidad crítica permite a atacantes no autenticados cambiar correos y restablecer contraseñas. cve-2026-12818 afecta a controladores lógicos programables de Delta Electronics, permitiendo ataques de denegación de servicio mediante agotamiento de recursos en el servicio Modbus TCP. La vulnerabilidad es crítica y puede afectar la disponibilidad del dispositivo en entornos industriales. cve-2026-12819 afecta a dispositivos industriales de Delta Electronics. La vulnerabilidad permite acceso sin autenticación a funciones críticas del autómata. Esto representa un riesgo grave para la seguridad operacional de sistemas industriales. cve-2026-12076 afecta a Raytha CMS con una inyección SQL crítica que permite el control completo de la base de datos y la extracción de credenciales. Esta vulnerabilidad tiene explotación activa confirmada y una severidad crítica. cve-2026-9711 afecta al plugin EventON de WordPress permitiendo inyección SQL para extraer datos sensibles. Vulnerabilidad crítica con explotación activa confirmada que exige atención inmediata. cve-2026-13766 afecta a Exodist DBIx QuickORM permitiendo inyección SQL mediante identificadores sin comillas. La vulnerabilidad permite manipular consultas y acceder a datos no autorizados con impacto crítico en la seguridad. cve-2026-14162 afecta a un sistema hospitalario permitiendo acceso no autorizado a documentación sensible de la API. Esto expone datos críticos y representa un riesgo para la confidencialidad en entornos médicos. cve-2026-53690 describe una inyección SQL crítica en Redeight CMS que permite a atacantes remotos ejecutar comandos arbitrarios y acceder a datos sensibles. Es una vulnerabilidad grave en el manejo de parámetros de autenticación sin sanitización adecuada. cve-2026-8402 afecta un sistema de control de acceso electrónico permitiendo inyección SQL ciega que compromete la base de datos. Esta vulnerabilidad crítica pone en riesgo la integridad y confidencialidad de la información gestionada por el dispositivo. cve-2026-44946 describe una vulnerabilidad crítica en Rancher que permite ataques de intermediario mediante reproducción de autenticaciones SAML. Esta falla compromete la integridad del proceso de autenticación en entornos de gestión de contenedores. cve-2026-58116 expone una ejecución remota de código crítica en LLaMA Factory debido a la validación insuficiente en la carga de modelos. Esta vulnerabilidad permite el control total del servidor a través de la interfaz web. cve-2026-6556 afecta a Fastify express permitiendo omitir middleware crítico por fallo en rutas prefijadas. Esta vulnerabilidad permite bypass de autenticación y control de acceso, siendo explotada activamente. La solución recomendada es actualizar a la última versión disponible o limitar las formas de definir rutas. cve-2026-48276 afecta a Adobe ColdFusion permitiendo la ejecución arbitraria de código a través de la carga no restringida de archivos peligrosos sin necesidad de interacción del usuario. cve-2026-48277 afecta gravemente a Adobe ColdFusion permitiendo ejecución remota de código sin interacción. Esta vulnerabilidad crítica cambia el alcance del sistema y compromete la seguridad del servidor de aplicaciones web. cve-2026-48281 afecta a Adobe ColdFusion permitiendo ejecución remota de código sin necesidad de interacción del usuario. Esta vulnerabilidad es crítica y compromete la seguridad del servidor de aplicaciones. cve-2026-48282 afecta a Adobe ColdFusion y permite la ejecución arbitraria de código por una vulnerabilidad de salto de ruta sin interacción del usuario. Esta falla crítica supone un riesgo severo para la integridad de sistemas que utilizan esta plataforma. cve-2026-48283 describe una vulnerabilidad crítica en Adobe ColdFusion que permite la ejecución remota de código mediante carga de archivos maliciosos. Esta falla requiere poca interacción para su explotación y afecta a servidores web basados en esta plataforma. cve-2026-48286 afecta a Adobe Campaign Classic con una vulnerabilidad crítica que permite ejecución arbitraria de código sin interacción. La falla reside en un control de accesos incorrecto que cambia el alcance de la explotación. cve-2026-48313 afecta a Adobe ColdFusion permitiendo la lectura arbitraria y escritura limitada en el sistema de archivos mediante un recorrido de directorios. Esta vulnerabilidad crítica no requiere interacción del usuario y puede comprometer la confidencialidad e integridad de datos sensibles. cve-2026-48315 permite la ejecución remota de código en Adobe ColdFusion mediante la manipulación de entradas no validadas. Esta vulnerabilidad crítica expone a los usuarios a ataques que pueden comprometer cuentas y sesiones. cve-2026-58172 describe una grave vulnerabilidad en el framework Ocelot que permite a clientes bloqueados evadir controles de seguridad y acceder a servicios protegidos. Esta falla se debe a la omisión del middleware de seguridad en actualizaciones WebSocket, lo que representa un riesgo crítico para la seguridad de APIs protegidas. cve-2026-58370 describe una vulnerabilidad crítica en Woodpecker que permite saltarse controles de aprobación y ejecutar código malicioso. Esta falla pone en riesgo la integridad de las pipelines y la seguridad de los secretos almacenados. cve-2026-58138 afecta a Orkes Conductor permitiendo la ejecución remota de código sin autenticación mediante definiciones maliciosas en los flujos de trabajo. La vulnerabilidad permite comandos arbitrarios en el sistema operativo, comprometiendo la seguridad del entorno afectado. cve-2026-10109 expone a IBM Db2 a ejecución remota de código debido a un fallo en el protocolo DRDA. Esta vulnerabilidad tiene un impacto crítico y permite control remoto no autorizado del sistema de bases de datos. cve-2026-10134 expone a IBM Langflow OSS a una ejecución remota de código con control total del sistema y persistencia del atacante, comprometiendo datos y flujos críticos. Afecta severamente la seguridad interna y el aislamiento entre usuarios. cve-2026-10140 presenta una vulnerabilidad crítica en IBM Langflow OSS que permite la reutilización indebida de clientes API entre usuarios, causando problemas de facturación cruzada y errores en la responsabilidad. La explotación activa ya ha sido confirmada, lo que eleva la gravedad de esta amenaza. cve-2026-11708 afecta a IBM WebSphere Application Server con una vulnerabilidad crítica de cross-site scripting en la consola administrativa que permite ejecutar código malicioso en el navegador del administrador. Esta falla tiene explotación activa confirmada. cve-2026-11712 afecta a IBM WebSphere Application Server y permite ataques de cross-site scripting en la consola administrativa, poniendo en riesgo sesiones y credenciales. Se recomienda aplicar las actualizaciones oficiales para mitigar esta amenaza crítica. cve-2026-7663 expone una grave vulnerabilidad de autorización en IBM Langflow OSS que permite el acceso y control no autorizado de recursos críticos. Esta falla es explotada activamente y presenta una severidad crítica, comprometiendo la seguridad de los proyectos gestionados. cve-2026-7803 permite la ejecución remota de código en IBM Langflow debido a una validación insuficiente de los nodos de flujo. Esta vulnerabilidad crítica compromete la integridad del sistema permitiendo ataques remotos efectivos. cve-2026-7871 afecta a IBM Langflow OSS, permitiendo ejecución remota de código y comprometiendo la seguridad completa del sistema. Esta vulnerabilidad crítica implica riesgo total para datos y servicios. cve-2026-7873 permite la ejecución remota de comandos y el acceso a archivos sensibles en IBM Langflow OSS. Esta falla crítica posibilita la toma completa del sistema y movimientos laterales dentro de la red, representando un riesgo mayor para la seguridad. cve-2026-7874 revela una grave vulnerabilidad en IBM Langflow que permite la divulgación de todas las credenciales almacenadas debido a un cifrado inadecuado. La severidad crítica de esta falla resalta la urgencia de aplicar soluciones inmediatas para proteger la información sensible. cve-2026-50003 permite a un servidor malicioso o comprometido hacer que un cliente DCMTK escriba archivos fuera del directorio elegido. Esta vulnerabilidad con severidad crítica afecta la integridad del sistema mediante rutas relativas o absolutas en modos de almacenamiento específicos. cve-2026-58449 afecta a txtai con una vulnerabilidad crítica de ejecución remota de código vía endpoint de reindexación sin autenticación bajo una configuración insegura que permite la ejecución arbitraria de comandos. cve-2026-50110 afecta a Storage Concentrator, permitiendo el acceso no autorizado a servicios internos mediante credenciales expuestas codificadas. Esta vulnerabilidad crítica pone en riesgo múltiples sistemas interconectados. cve-2026-55721 describe una inyección SQL crítica en Storage Concentrator que permite acceso remoto a datos sensibles sin autenticación. Esta vulnerabilidad afecta directamente la confidencialidad de las credenciales y claves almacenadas. Su severidad es muy alta y la explotación activa está confirmada. cve-2026-56264 afecta a una herramienta de inteligencia artificial para crawling web permitiendo la ejecución remota de código. La vulnerabilidad se debe a la ejecución arbitraria de JavaScript con seguridad deshabilitada, lo que facilita ataques internos desde el servidor. cve-2026-56278 afecta a Flowise al permitir la suplantación de usuarios mediante falsificación de cookies de sesión debido a un secreto estático y expuesto en el código. Esta vulnerabilidad crítica permite eludir completamente la autenticación en la plataforma. cve-2026-56413 describe una vulnerabilidad crítica en Storage Concentrator que permite la ejecución remota de comandos con privilegios de administrador. Este fallo puede comprometer totalmente la integridad del sistema debido a la inyección de comandos sin filtrar en un servicio de red. cve-2026-56415 es una vulnerabilidad crítica de inyección de comandos que permite la ejecución remota con privilegios root en Storage Concentrator y Storage Concentrator Virtual Machine. Esta falla grave proviene de la falta de saneamiento en un script accesible sin autenticar, representando un riesgo alto para integridad y control del sistema. cve-2026-56700 describe múltiples vulnerabilidades críticas en Grav CMS que permiten ejecución remota de código y inyección de comandos. Incluye un bypass en seguridad del sistema de plantillas Twig y vulnerabilidades en la gestión de instalación de plugins y temas. cve-2026-53488 afecta a containerd y permite la ejecución remota de código mediante etiquetas de imagen maliciosas. Esta vulnerabilidad crítica permite que un atacante ejecute comandos arbitrarios en el sistema anfitrión.

Ayer21 min