Top Vulnerabilidades Críticas 01-04-2026

cve-2026-3502 afecta a una plataforma de gestión en la nube de Google permitiendo la ejecución remota de código malicioso mediante la descarga sin verificación de integridad. Esta vulnerabilidad es crítica y se está explotando activamente. cve-2026-3106 afecta al gestor de contraseñas Teampass con una vulnerabilidad crítica de cross-site scripting ciego que permite la ejecución remota de código en el navegador del administrador. Esta falla se debe a una falta de validación en el formulario de inicio de sesión y pone en riesgo el control total de la aplicación. cve-2026-3107 es una vulnerabilidad crítica de Cross-Site Scripting almacenado en el gestor de contraseñas Teampass. Permite la ejecución remota de código JavaScript en el navegador de usuarios y administradores, poniendo en riesgo credenciales y sesiones. cve-2026-4317 describe una grave vulnerabilidad de inyección SQL en Umami Software que permite la ejecución arbitraria de comandos en la base de datos por parte de usuarios autenticados. Esta falla crítica pone en riesgo la integridad y confidencialidad de la información gestionada por la aplicación. cve-2025-15618 describe una vulnerabilidad crítica en Business OnlinePayment StoredTransaction que compromete claves secretas usadas para proteger datos de tarjetas de crédito. Esta falla permite a atacantes vulnerar la confidencialidad de las transacciones cifradas en el sistema. cve-2026-32916 expone una omisión de autorización en OpenClaw que permite ejecutar acciones privilegiadas de forma remota y sin autenticación. Esta vulnerabilidad supone un riesgo crítico para la integridad y gestión de sesiones en el sistema afectado. cve-2026-32917 afecta a OpenClaw permitiendo ejecución remota de comandos mediante rutas no saneadas en archivos adjuntos. Esta vulnerabilidad crítica es explotada en el proceso de gestión de archivos remotos, poniendo en riesgo el control total de sistemas afectados. cve-2026-34156 afecta a NocoBase permitiendo ejecución remota de código mediante escape de sandbox. La vulnerabilidad permite a un atacante autenticado ejecutar código como root aprovechando una fuga en el objeto consola. cve-2026-0596 es una vulnerabilidad crítica que permite la ejecución remota de comandos en Databricks mlflow debido a una falta de sanitización en la ejecución de modelos. Esta falla puede conducir a una escalada de privilegios si se aprovecha correctamente. cve-2026-34162 afecta a la plataforma FastGPT permitiendo acceso no autorizado a un proxy HTTP completo, lo que permite ejecutar solicitudes web maliciosas desde el servidor. Esta vulnerabilidad es crítica y tiene explotación activa confirmada. cve-2026-34202 afecta a Zcash Zebra con una vulnerabilidad crítica que permite denegar servicio remoto mediante una transacción maliciosa. El fallo se produce en la lógica de procesamiento de transacciones, provocando el bloqueo del nodo. Se recomienda actualizar a las versiones que corrigen este problema. cve-2026-34532 expone una vulnerabilidad crítica en Parse Server que permite eludir controles de acceso y ejecutar funciones sin autenticación. Esta falla se debe a una incorrecta validación en la cadena de prototipos, afectando seriamente la seguridad del servicio. cve-2026-34220 afecta a MikroORM en Node.js, causando inyección SQL crítica con explotación activa. La vulnerabilidad permite ejecución remota de consultas maliciosas, comprometiendo la integridad de las bases de datos. cve-2026-34243 afecta a la herramienta wenxian de github, permitiendo ejecución remota de código mediante inyección de comandos en flujos de trabajo automatizados de GitHub Actions. Esta vulnerabilidad es crítica y con explotación confirmada. cve-2026-34361 afecta a HAPI FHIR y permite el robo de tokens de autenticación mediante un endpoint expuesto sin protección y falla en la validación de URLs. La gravedad es crítica y facilita acceso no autorizado a sistemas sanitarios integrados. cve-2026-30282 afecta a la aplicación de duplicación de pantalla Cast to TV Screen Mirroring, permitiendo la ejecución remota de código y la exposición de datos. Esta vulnerabilidad crítica permite la sobreescritura arbitraria de archivos mediante el proceso de importación de archivos. cve-2026-3356 expone una omisión de autenticación crítica en el MS27102A Remote Spectrum Monitor, permitiendo acceso no autorizado total. Esta falla es inherente al diseño del sistema, sin opciones de mitigación. cve-2026-1579 afecta al protocolo MAVLink utilizado en sistemas PX4, permitiendo el envío de comandos sin autenticación cuando no está habilitada la firma de mensajes. Esta brecha permite control remoto no autorizado y ejecución de comandos maliciosos. cve-2026-34406 describe una vulnerabilidad crítica de escalada de privilegios en APTRS que permite a usuarios no autorizados obtener acceso total a la aplicación sin reautenticación. Esta falla se debe a la falta de protección del campo is_superuser en el proceso de edición de usuarios. cve-2026-34448 afecta a SiYuan, permitiendo la ejecución remota de código mediante inyección de JavaScript en imágenes sin validar. La explotación activa puede llevar a control total sobre la cuenta del usuario. cve-2026-34449 describe una ejecución remota de código crítica en SiYuan mediante explotación de la política CORS permisiva. Esta vulnerabilidad permite acceso total al sistema sin interacción adicional del usuario. cve-2025-71279 afecta a XenForo permitiendo comprometer la autenticación basada en Passkeys. Esta vulnerabilidad es crítica y permite ataques que comprometen la seguridad de acceso en el software de foros.