Top Vulnerabilidades Críticas 02-04-2026

cve-2026-4020 describe una vulnerabilidad de exposición de información sensible con explotación activa confirmada. La falla permite a atacantes acceder a datos críticos sin autorización, representando un riesgo severo para la confidencialidad. cve-2023-36899 afecta a Microsoft .NET Framework permitiendo la ejecución remota de código y denegación de servicio por una mala validación de entrada. Esta vulnerabilidad presenta un riesgo crítico y se confirma su explotación activa. cve-2026-35056 afecta a Xenforo permitiendo ejecución remota de código por inyección. La explotación activa está confirmada, representando un riesgo crítico para los sistemas afectados. cve-2026-5281 describe una vulnerabilidad de tipo Use After Free en un producto no especificado, que permite ejecución remota de código y está en explotación activa. cve-2026-5288 afecta a Google Chrome en Android permitiendo la ejecución remota de código y escape del sandbox. Esta vulnerabilidad utiliza un uso después de liberación en WebView para comprometer la seguridad del sistema. cve-2026-5289 afecta a Google Chrome y permite la ejecución remota de código mediante una fuga del sandbox causada por un problema de uso después de liberar memoria. Es una vulnerabilidad crítica de alta severidad con explotación confirmada. cve-2026-5290 describe una vulnerabilidad crítica en Google Chrome que permite la ejecución fuera del entorno seguro mediante una página maliciosa. Este fallo afecta directamente al proceso de renderizado y compromete la seguridad del navegador. cve-2025-15484 afecta a WooCommerce, permitiendo acceso completo no autorizado a recursos críticos. Esta vulnerabilidad es crítica con una puntuación de severidad alta. cve-2026-4370 afecta a Juju por fallo de autenticación TLS en el clúster de base de datos Dqlite, permitiendo acceso completo sin autorización. Esta vulnerabilidad es crítica y facilita la intervención total en los datos del sistema afectado. cve-2026-29014 en MetInfo CMS permite ejecución remota de código. Esta vulnerabilidad crítica permite a atacantes controlar completamente el servidor afectado. cve-2026-31027 afecta a routers TOTOlink A3600R con una falla crítica de desbordamiento de búfer que permite ejecutar código arbitrario o causar denegación de servicio. Es una vulnerabilidad grave que compromete la seguridad del dispositivo. cve-2024-40489 describe una vulnerabilidad crítica en jeecg boot que permite la ejecución remota de código mediante inyección. Esta falla compromete la seguridad de aplicaciones web desarrolladas con este framework debido a un filtrado insuficiente de caracteres en las solicitudes HTTP. cve-2024-43028 describe una vulnerabilidad crítica en Jeecg Boot que permite la ejecución remota de código mediante inyección de comandos. Esta falla afecta directamente a la seguridad de servidores que utilizan este framework para generar informes. cve-2026-20093 reporta una grave vulnerabilidad en Cisco Integrated Management Controller que permite a atacantes remotos sin autenticar acceder como administradores mediante eludir el sistema de cambio de contraseña. El fallo grave facilita el control total del equipo vulnerable. cve-2026-20160 afecta a Cisco Smart Software Manager On-Prem permitiendo la ejecución remota de comandos con privilegios root a través de un servicio interno expuesto. Esta vulnerabilidad presenta una severidad crítica y explotación activa confirmada, representando un riesgo grave para los sistemas afectados. cve-2026-30643 permite la ejecución remota de código en DedeCMS a través de una carga manipulada. Esta vulnerabilidad crítica compromete completamente el sistema y está siendo explotada activamente. cve-2026-34159 afecta a llama.cpp y permite la ejecución remota de código mediante la manipulación de mensajes RPC que controlan la memoria del proceso, sin necesidad de autenticación previa. cve-2026-34751 afecta a sistemas gestionados con payload y permite que un atacante sin acceso previo ejecute acciones en la cuenta de un usuario durante el proceso de recuperación de contraseña, comprometiendo así la seguridad del sistema y la privacidad de los usuarios. cve-2026-34875 expone un desbordamiento crítico en Mbed TLS que permite la ejecución remota de código mediante la manipulación de claves FFDH. Es una falla grave en la biblioteca de criptografía Arm Mbed TLS que compromete la seguridad de la gestión de claves. cve-2026-34456 expone una grave vulnerabilidad en Reviactyl Panel que permite la toma de control de cuentas mediante la vinculación automática de cuentas sociales por correo electrónico. Este fallo crítico de autenticación compromete la seguridad sin necesidad de contraseña. cve-2026-34872 afecta a las implementaciones criptográficas de Arm Mbed TLS y TF-PSA-Crypto, causando una falta de comportamiento contributivo en FFDH debido a una validación incorrecta. Esto compromete la seguridad del intercambio de claves, permitiendo ataques activos que pueden controlar el resultado del secreto compartido. cve-2026-34559 afecta a Ci4ms con una falla crítica de cross-site scripting almacenado. La vulnerabilidad permite la ejecución remota de código JavaScript malicioso en varias interfaces clave. Es fundamental actualizar a la versión segura para evitar ataques directos. cve-2026-34560 afecta a ci4ms con una vulnerabilidad crítica de ejecución remota de código mediante XSS almacenado en registros. El fallo permite que un atacante ejecute código al acceder un administrador a la página de registros. cve-2026-34563 afecta a CI4MS con una vulnerabilidad crítica de cross-site scripting almacenado que permite ejecución remota de código malicioso en interfaces de gestión de copias de seguridad. Esta falla reside en la insuficiente sanitización de entradas integradas en nombres de archivos, con explotación confirmada y parche disponible. cve-2026-34564 describe una vulnerabilidad crítica de cross-site scripting almacenado en CI4MS que permite ejecución remota de código. Es causada por un fallo en la validación de entradas en la gestión de menús, afectando tanto la interfaz de administración como la navegación pública. cve-2026-34565 afecta a CI4MS, permitiendo cross-site scripting almacenado por entradas no sanitizadas en su función de gestión de menús. Esta vulnerabilidad crítica impacta en la seguridad de paneles y menús de navegación, con explotación activa confirmada. cve-2026-34566 afecta al CMS basado en CodeIgniter 4 CI4MS permitiendo ejecución remota de código JavaScript mediante cross-site scripting almacenado. Esta vulnerabilidad crítica permite ataques fiables a través de la gestión de páginas sin sanitización adecuada. cve-2026-34567 describe una vulnerabilidad crítica de cross-site scripting almacenado en CI4MS, un CMS basado en CodeIgniter 4. La falta de sanitización en campos de categorías permite la ejecución remota de código. Esta vulnerabilidad ha sido confirmada en explotación activa y debe ser parcheada inmediatamente. cve-2026-34568 describe una vulnerabilidad crítica de cross-site scripting almacenado en CI4MS que permite ejecución remota de código malicioso. Esta brecha afecta al manejo de contenido en publicaciones de blog y puede comprometer la integridad de la aplicación y la seguridad del usuario. cve-2026-34569 afecta a CI4MS, un CMS basado en CodeIgniter 4, causando un fallo crítico de cross-site scripting almacenado. Esta vulnerabilidad permite la ejecución remota de código JavaScript en páginas de categorías, interfaces administrativas y vistas de publicaciones. cve-2026-34570 afecta a CI4MS CodeIgniter y permite acceso persistente no autorizado por fallo en la revocación de sesiones tras eliminación de cuentas. La vulnerabilidad rompe la política de control de acceso y ha sido parcheada en la versión indicada. cve-2026-34571 afecta a CI4MS, un CMS basado en CodeIgniter 4. Permite ejecución de código malicioso persistente en la interfaz administrativa. Esta vulnerabilidad permite secuestro de sesión y compromiso total de cuentas administrativas.