Iurlek - Noticias Seguridad

Iurlek - Noticias Seguridad

Top Vulnerabilidades Críticas 12-06-2026

8 min · 12. juni 2026
Get Started
episode Top Vulnerabilidades Críticas 12-06-2026 cover

Description

cve-2026-35273 afecta a Oracle PeopleSoft Enterprise PeopleTools permitiendo acceso no autorizado a funciones críticas. Esta vulnerabilidad es explotada activamente y representa un riesgo alto para la seguridad. cve-2026-10795 afecta a UpdraftPlus permitiendo la ejecución remota de código mediante la omisión de la validación de firmas criptográficas. Esta falla crítica refleja un problema grave de seguridad en sistemas de copia de seguridad de WordPress. cve-2026-4764 describe una vulnerabilidad crítica en Google Dialogflow CX que permite la escalada de privilegios y el control de proyectos en Google Cloud Platform mediante la importación de playbooks maliciosos. cve-2026-7852 afecta a LimRAD NAC de Limatek con riesgo crítico de ejecución remota de código mediante carga no segura de archivos. Esta vulnerabilidad pone en peligro la integridad y disponibilidad del sistema. cve-2026-38581 es una vulnerabilidad crítica que permite ejecución remota de comandos SQL en damasac thaipalliative_lte debido a inyección SQL por parámetros no sanitizados. cve-2026-11839 afecta a Rotaban y permite la carga libre de archivos dañinos, comprometiendo servidores web. La explotación puede llevar a la ejecución remota de código y control total del sistema. cve-2026-9648 describe una vulnerabilidad crítica en la librería crypton-x509-validation de Haskell que permite la suplantación de dominios mediante certificados fuera de los límites autorizados. Este fallo en la validación de restricciones de nombre en certificados X.509 representa un riesgo alto para la seguridad de conexiones TLS. cve-2026-49261 afecta a MariaDB server con ejecución remota de comandos debido a la función wsrep_notify_cmd habilitada. Esta vulnerabilidad crítica permite la ejecución de código remoto, representando un riesgo alto para la seguridad de bases de datos en entornos afectados. cve-2026-45177 afecta a CyberArk Idira Secrets Manager SaaS Edge permitiendo un bypass de autenticación y la obtención no autorizada de tokens de acceso por control de acceso deficiente. cve-2026-47172 describe una vulnerabilidad crítica en Quest Bot de duck-organization que permite ejecución remota de código mediante despliegue no autorizado. Esta falla afecta la seguridad del entorno de producción al permitir la creación y despliegue de contenedores maliciosos. cve-2026-47174 describe una vulnerabilidad crítica en Duck Site que permite la ejecución remota de código no autorizado en producción. La falla surge de una configuración que permite desplegar código de pull requests sin revisión. cve-2026-49973 describe una vulnerabilidad crítica en Hermes WebUI que permite el secuestro de la configuración inicial sin autenticación, comprometiendo el control de la plataforma. Este fallo de control de acceso expone el sistema a ataques remotos desde cualquier red accesible, autorizando el bloqueo del operador original y la persistencia de accesos no autorizados. cve-2026-41005 describe una vulnerabilidad crítica en VMware Cloud Foundry UAA que permite la omisión de la autenticación mediante la aceptación de aserciones SAML cifradas no firmadas. Este fallo compromete la integridad del proceso de autenticación al no validar adecuadamente las firmas digitales en flujos de autenticación. cve-2026-39494 afecta a un plugin de WordPress para filtros de productos, permitiendo inyección SQL ciega y ejecución remota de código. Esta vulnerabilidad se considera crítica por el alto impacto en la seguridad y la explotación confirmada. cve-2026-45171 permite la ejecución remota de código en CyberArk Idira Privileged Session Manager debido a una validación incompleta y permisos erróneos. Esta vulnerabilidad crítica compromete la seguridad del sistema con acceso privilegiado a través de un usuario con pocos derechos. cve-2026-42846 afecta a ClipBucket v5 permitiendo la ejecución remota de código por inyección de comandos en URLs manipuladas. Es una vulnerabilidad crítica con explotación activa confirmada que permite control total del sistema. La solución pasa por aplicar parches que evitan la concatenación insegura de parámetros. cve-2026-45060 expone a ClipBucket v5 a inyección SQL ciega permitiendo a usuarios no autenticados acceder a datos sensibles. Esta vulnerabilidad crítica requiere actualización urgente para prevenir filtraciones masivas.

Comments

0

Be the first to comment

Sign up now and become a member of the Iurlek - Noticias Seguridad community!

Get Started

1 month for 9 kr.

Then 99 kr. / month · Cancel anytime.

  • Podcasts kun på Podimo
  • 20 lydbogstimer pr. måned
  • Gratis podcasts
Get Started

All episodes

100 episodes

episode Top Vulnerabilidades Críticas 19-06-2026 artwork

Top Vulnerabilidades Críticas 19-06-2026

cve-2026-10735 afecta a Google Chrome con ejecución remota de código debido a corrupción de memoria. Esta vulnerabilidad permite la ejecución arbitraria de código y se reporta explotación activa. cve-2026-55740 afecta a la aplicación bus-ticket con una inyección SQL crítica que permite a atacantes leer datos sensibles sin autenticación previa. La vulnerabilidad se basa en la concatenación insegura de parámetros en consultas a la base de datos ejecutadas como usuario root. cve-2026-28573 afecta a Google Android y permite un bloqueo persistente del sistema mediante denegación de servicio local. Esta vulnerabilidad destaca por su severidad crítica y la ausencia de necesidad de interacción para su explotación. cve-2026-55742 describe una vulnerabilidad crítica en Cotonti que permite la elevación de privilegios por CSRF. Esta falla afecta a la gestión de permisos en el panel administrativo, facilitando el control total por parte de un atacante. cve-2025-10560 expone credenciales críticas en los binarios del cliente Worksnaps permitiendo acceso a recursos sensibles en la nube y manipulación de datos confidenciales. Esta vulnerabilidad de alta gravedad exige atención inmediata para mitigar accesos indebidos. cve-2026-11717 describe una vulnerabilidad crítica en Google mcp toolbox que permite eludir la autenticación por un error en la validación de tokens opacos. Esta falla puede conceder acceso no autorizado a recursos protegidos sin necesidad de credenciales válidas. cve-2026-11718 presenta una vulnerabilidad crítica en Google mcp toolbox que permite eludir la autentificación debido a una validación incorrecta de tokens. Esta falla puede permitir acceso con tokens emitidos por proveedores no autorizados. cve-2026-54419 describe una vulnerabilidad crítica de inyección SQL en PIAF-HMS, un sistema de gestión hotelera. Esta falla permite a atacantes remotos sin autenticación modificar o eliminar datos sensibles. La peligrosidad se debe a la ausencia total de mecanismos de protección contra la inyección. cve-2026-8024 es una vulnerabilidad crítica en sistemas Siemens de supervisión industrial que permite la ejecución remota y control total sin autenticación. La falla reside en la deserialización de datos no confiables, con explotación activa confirmada. cve-2026-38714 afecta a dispositivos de comunicaciones industriales permitiendo la ejecución remota de comandos con privilegios de administrador. La vulnerabilidad es crítica y tiene explotación confirmada. cve-2026-38715 describe una falla de inyección de comandos en dispositivos de red industriales de InHand Networks, permitiendo ejecución remota con privilegios elevados. Esta vulnerabilidad es crítica por su alta severidad y explotación confirmada, constituyendo un riesgo grave para la seguridad de sistemas afectados. cve-2026-38716 describe una vulnerabilidad crítica de inyección de comandos en dispositivos industriales de InHand Networks. Permite a atacantes remotos ejecutar código con privilegios elevados. Es una falla grave que compromete la seguridad del sistema. cve-2026-54103 afecta a un sistema electrónico oficial y permite el cambio remoto de contraseñas sin autenticación previa. Esta falla crítica facilita el control no autorizado completo de cuentas, poniendo en riesgo la integridad y confidencialidad de usuarios. cve-2026-55203 afecta críticamente a HAProxy permitiendo ataques de desincronización en el procesamiento FastCGI. Provoca graves problemas de enrutamiento y manipulación de respuestas en entornos vulnerables. cve-2026-56020 permite la suplantación de identidad en Webmin mediante cabeceras HTTP falsificadas para saltarse la autenticación con certificados SSL. Esta vulnerabilidad crítica afecta al control de acceso en servidores Webmin. cve-2026-54390 describe una vulnerabilidad crítica de inyección en plantillas del lado servidor en JTL Shop que permite la ejecución remota de código y la exposición de credenciales sensibles. Esta falla impacta severamente la integridad y confidencialidad del sistema. cve-2026-47846 detalla una grave vulnerabilidad en Bitnami Cassandra container images que permite mantener un superusuario por defecto activo sin eliminar. Esta situación crea vías adicionales de acceso no autorizado con privilegios de administrador. cve-2026-49252 afecta a deepstream.io con una vulnerabilidad crítica de Prototype Pollution que permite la escalada de privilegios de usuarios autenticados. Esta vulnerabilidad ha sido explotada activamente y requiere actualización inmediata a la versión segura. cve-2026-49257 permite acceso total no autorizado a clústeres Apache Pinot mediante un servidor MCP sin autenticación. La vulnerabilidad afecta severamente la seguridad del sistema, exponiendo datos y operaciones críticas a atacantes remotos. cve-2026-49454 describe una vulnerabilidad crítica en Relyra que permite la aceptación de firmas SAML falsificadas, comprometiendo la autenticación. Esta falla se debe a una verificación incompleta de la firma digital, que impacta directamente en la seguridad del mecanismo de autenticación de esta biblioteca. cve-2026-47647 describe una vulnerabilidad crítica en Microsoft Dynamics 365 que permite la escalada de privilegios mediante un control de acceso incorrecto. Esta falla posibilita que un atacante autorizado aumente su nivel de acceso en la red, comprometiendo la seguridad del sistema. cve-2026-54130 afecta a Microsoft 365 Copilot con una grave vulnerabilidad que permite la divulgación de información sin autenticación. Esta falla compromete la confidencialidad de datos sensibles mediante la explotación remota. cve-2026-12045 permite la ejecución arbitraria de sentencias SQL en pgAdmin 4 mediante bypass en transacciones de solo lectura. Esta vulnerabilidad crítica afecta la integridad de la base de datos y puede llevar a ejecución remota de código bajo ciertos privilegios. cve-2026-12046 afecta a pgadmin 4 permitiendo ejecución remota de código sin autenticación previa. La vulnerabilidad se debe a la deserialización de datos no confiables y la falta de protección en rutas críticas. Esto supone un riesgo grave de compromiso del servidor donde se ejecuta la aplicación. cve-2026-12048 identifica una grave vulnerabilidad de cross-site scripting en pgAdmin 4, que permite a atacantes redirigir usuarios desde la propia interfaz a sitios de phishing. La explotación pasa por inyección de código HTML en mensajes de error generados por servidores PostgreSQL comprometidos o manipulados. cve-2026-40624 describe una ejecución remota de código crítica en cámaras de AVer por mala validación de entradas. Esta vulnerabilidad permite control total remoto sin autenticación.

Yesterday12 min