cve-2025-7340 afecta a un plugin de WordPress que permite la carga ilimitada de archivos peligrosos, lo que facilita la ejecución remota de código. La explotación activa de esta vulnerabilidad representa un riesgo crítico para servidores web y sitios afectados.
cve-2025-11307 permite la ejecución remota de código comprometida en un plugin de mapas para WordPress. Esta vulnerabilidad en Codecabin wp_go_maps representa un riesgo crítico para la integridad del sitio web. Su explotación activa requiere atención inmediata.
cve-2023-47783 afecta a thrive themes builder, permitiendo acceso no autorizado debido a un fallo en autorización. Este problema representa un riesgo crítico por su explotación activa y la posibilidad de comprometer sistemas web sin restricciones.
cve-2022-0633 afecta a UpdraftPlus y permite la realización de acciones no autorizadas debido a una incorrecta autorización. Este fallo crítico compromete la seguridad de sitios WordPress al permitir el acceso sin permisos adecuados.
cve-2025-3278 revela una gestión inadecuada de privilegios en kev, que permite la escalada de permisos y acceso no autorizado. Esta vulnerabilidad tiene explotación confirmada, lo que la convierte en una amenaza crítica para la seguridad de sistemas y datos.
cve-2024-6028 afecta a ays-pro quiz maker y permite inyección SQL que facilita ejecución remota de código. La vulnerabilidad está en explotación activa lo que incrementa su gravedad y riesgo de comprometer sistemas.
cve-2024-2879 afecta a Kreatura Media LayerSlider permitiendo inyección SQL con explotación activa, lo que compromete datos y sistemas. Esta falla es crítica por la elevada capacidad de impacto en bases de datos y aplicaciones web.
cve-2024-13421 afecta a un tema de sitios web de bienes raíces con asignación incorrecta de privilegios que permite acceso inadecuado. Esta vulnerabilidad está siendo explotada activamente, representando un riesgo crítico.
cve-2024-13448 afecta a Themerex addons permitiendo la carga de archivos peligrosos sin restricciones, lo que facilita la ejecución remota de código. Esta vulnerabilidad está siendo explotada activamente y representa un riesgo crítico para la seguridad de las plataformas web que utilizan este complemento.
cve-2025-9807 es una vulnerabilidad de inyección SQL en el plugin The Events Calendar de StellarWP. Permite la ejecución remota de código y acceso no autorizado a datos. Esta falla ya está siendo explotada activamente.
cve-2024-4346 afecta a un complemento para tiendas online con una vulnerabilidad de Path Traversal que permite acceso no autorizado a archivos del sistema. Esta falla crítica está siendo explotada activamente, representando un riesgo grave para la seguridad de los datos.
cve-2025-64377 afecta a Cridio ListingPro permitiendo ejecución remota de código mediante inclusión remota de archivos. La vulnerabilidad se debe al control insuficiente del nombre de archivo en funciones PHP de inclusión.
cve-2024-13744 afecta a un plugin de comercio electrónico en WordPress permitiendo la carga no restringida de archivos maliciosos y facilitando la ejecución remota de código. Esta vulnerabilidad está siendo explotada activamente, aumentando su gravedad y urgencia de mitigación.
cve-2026-2931 presenta una grave vulnerabilidad de gestión inadecuada de privilegios en la plataforma Amelia de T M S Outsource. Esta falla permite la elevación de privilegios y acceso no autorizado con explotación confirmada.
cve-2024-31286 afecta a WordPress WP Photo Album Plus e implica una subida sin restricciones de archivos peligrosos que permite ejecución remota de código. La vulnerabilidad está siendo explotada activamente, representando un riesgo crítico para sitios web que usan este plugin.
cve-2025-4606 describe una vulnerabilidad crítica en Kev Authenticator que permite cambios no autorizados de contraseña, comprometiendo la integridad de las cuentas de usuario. La explotación activa de esta vulnerabilidad la convierte en una amenaza inmediata y grave para la seguridad.
cve-2024-8420 afecta a sitesao dhvc_form, causando escalada de privilegios por asignación incorrecta. Se ha confirmado explotación activa. Es una vulnerabilidad crítica que exige atención inmediata.
cve-2022-1281 afecta a 10web photo gallery con una inyección SQL que compromete datos sensibles y está en explotación activa.
cve-2023-5822 afecta a un complemento de WordPress que permite la carga sin restricciones de archivos peligrosos, facilitando la ejecución remota de código en servidores vulnerables. La explotación activa de esta vulnerabilidad la convierte en una amenaza crítica para la seguridad de sitios web.
cve-2023-2745 afecta a Wordpress con una vulnerabilidad crítica de Path Traversal. Esta vulnerabilidad permite el acceso no autorizado a archivos sensibles mediante la manipulación de rutas. Su explotación activa representa un riesgo grave para la seguridad de sitios web basados en esta plataforma.
cve-2025-15403 afecta a RegistrationMagic de Metagauss y permite escalada de privilegios debido a un fallo en la gestión de accesos. La vulnerabilidad está siendo explotada activamente, lo que aumenta su riesgo.
cve-2024-4845 afecta a icegram_express permitiendo inyección SQL activa y explotación confirmada. Esta falla compromete la integridad y confidencialidad de la base de datos. Es crítica y requiere atención inmediata.
cve-2025-5339 afecta al software de gestión de publicidad ads pro de Scripteo. La vulnerabilidad permite una inyección SQL que impacta en la ejecución remota de código y se está explotando activamente.
cve-2024-12281 afecta a Favethemes Homey con una gestión incorrecta de privilegios que permite elevación de privilegios y compromete la seguridad. La vulnerabilidad está siendo explotada activamente, lo que la convierte en una amenaza crítica para los usuarios de este tema de WordPress.
cve-2026-29200 describe una vulnerabilidad crítica en Comet Backup que permite la suplantación de usuarios entre inquilinos mediante una llamada API vulnerable. Esta falla pone en riesgo la segregación de datos de distintos usuarios en un entorno compartido.
cve-2025-14320 afecta a Tegsoft Online Support Application con una vulnerabilidad crítica de Cross-Site Scripting reflejado que permite ejecución remota de código malicioso. Esta falla facilita ataques desde páginas web manipuladas especialmente para afectar a usuarios del producto.
cve-2025-13605 afecta a un dispositivo gateway Modbus de 3onedata con una vulnerabilidad crítica que permite ejecución remota de comandos con privilegios de root. La explotación activa de esta falla puede comprometer totalmente la seguridad del equipo industrial.
cve-2026-24118 afecta a vm2 permitiendo ejecución remota de código al escapar del sandbox. Es una vulnerabilidad crítica y tiene explotación activa confirmada.
cve-2023-7466 es una vulnerabilidad crítica en vm2 que permite ejecutar código arbitrario fuera de la sandbox. Esta falla permite a un atacante tomar control total del sistema anfitrión mediante escape de la máquina virtual.
cve-2026-24781 expone una vulnerabilidad crítica en vm2, una máquina virtual para Node.js, que permite la ejecución remota de código al escapar del sandbox. La explotación activa está confirmada, aumentando significativamente el riesgo para sistemas afectados.
cve-2026-25293 afecta a firmware de PLC de Qualcomm y permite ejecución remota de código por desbordamiento de buffer. La vulnerabilidad deriva de una autorización incorrecta que facilita privilegios elevados.
cve-2026-26332 afecta a patriksimek vm2 y permite la ejecución remota de código por escape del sandbox. Esta vulnerabilidad crítica pone en riesgo la integridad de las aplicaciones que usan esta máquina virtual para Node.js.
cve-2026-26956 es una vulnerabilidad crítica en vm2 que permite la evasión completa del sandbox y ejecución remota de código. Esta falla afecta a un entorno de ejecución para Node.js y representa un riesgo severo para la integridad del sistema. La vulnerabilidad está confirmada como explotada activamente y corregida en la última versión disponible.
cve-2026-42076 expone una vulnerabilidad crítica que permite la ejecución remota de comandos en Evomap Evolver. Esta falla reside en la insuficiente sanitización de comandos del sistema, facilitando el acceso no autorizado y control total del servidor afectado.
cve-2026-42090 afecta a Notesnook y permite la ejecución remota de código vía scripts inyectados en plantillas HTML. Esta vulnerabilidad se explota activamente debido a la configuración de Electron en la aplicación de escritorio. La actualización a las versiones corregidas elimina este riesgo crítico.
cve-2026-42373 describe una puerta trasera crítica en routers D-Link DIR-605L que permite acceso root sin autenticación efectiva. Esta vulnerabilidad afecta la seguridad de dispositivos en redes locales y no dispone de parche por fin de vida del producto.
cve-2026-42374 describe una vulnerabilidad crítica en el router D-Link DIR-600L con una puerta trasera telnet que permite acceso root a atacantes locales. Esta falla carece de parche debido al fin de vida del producto, exponiendo la red a control total malicioso.
cve-2026-42375 afecta a routers D-Link DIR-600L con una puerta trasera telnet activada por defecto y credenciales estándar. Permite acceso raíz sin autenticación en redes locales y no cuenta con parches por ser un dispositivo en fin de vida.
cve-2026-42376 describe una vulnerabilidad crítica en routers D-Link DIR-456U que permite un acceso remoto total mediante una puerta trasera telnet con credenciales fijas. Esta falla compromete la integridad y control completo del dispositivo. La explotación es activa y no hay parches disponibles debido al fin de vida del producto.
cve-2026-42809 describe una vulnerabilidad crítica en Apache Polaris relacionada con la emisión insegura de credenciales temporales que permite acceso no autorizado a datos sensibles. Esta falla se debe a la falta de validación en ubicaciones personalizadas durante la creación de tablas, provocando un grave riesgo de exposición de información.
cve-2026-42810 expone una grave vulnerabilidad en Apache Polaris que permite acceso y modificación no autorizada de datos en AWS S3 mediante uso indebido de caracteres comodín en políticas de acceso. Esta vulnerabilidad afecta la confidencialidad e integridad de los datos almacenados.
cve-2026-42811 expone una vulnerabilidad crítica en Apache Polaris que permite la escalada de privilegios dentro de un bucket de Google Cloud Storage. Este fallo permite el acceso completo y no autorizado a datos restringidos, comprometiendo la seguridad del almacenamiento en la nube. La explotación activa confirmada de esta vulnerabilidad la convierte en una amenaza prioritaria para usuarios de este sistema.
cve-2026-42812 afecta a Apache Polaris y permite la escritura no validada de metadatos en ubicaciones controladas por el atacante. Esto puede causar divulgación y modificación de datos sensibles en almacenamiento en la nube. La vulnerabilidad es crítica, con explotación activa confirmada.
cve-2026-41571 afecta a Note Mark permitiendo el acceso sin autenticación mediante una contraseña predeterminada. Esta vulnerabilidad crítica compromete la seguridad de sesión de usuarios OIDC registrados. Se recomienda actualizar a la versión parcheada para evitar la explotación.
cve-2026-42087 afecta a OpenC3 COSMOS con una inyección SQL crítica que permite comandos arbitrarios y borrado de datos. Su explotación activa está confirmada, lo que la convierte en una amenaza prioritaria para sistemas embebidos.
cve-2026-42088 es una vulnerabilidad crítica que permite ejecutar scripts maliciosos en OpenC3 COSMOS, afectando la seguridad y el acceso administrativo. Permite la lectura y modificación de datos sensibles, comprometiendo la integridad y confidencialidad del sistema.
cve-2026-42796 expone un grave fallo de ejecución remota de código en Arelle. El exploit permite a atacantes ejecutar código arbitrario sin necesidad de autenticarse, comprometiendo la integridad del sistema afectado.
cve-2026-42231 afecta a la plataforma n8n con una vulnerabilidad crítica que permite la ejecución remota de código mediante contaminación de prototipos a través de XML malicioso. Es exploitada activamente por usuarios autenticados con permisos elevados.
cve-2026-42232 describe una falla crítica en n8n que permite la ejecución remota de código mediante contaminación de prototipos en el nodo XML. Esta vulnerabilidad requiere permisos de usuario autenticado con capacidad de modificar flujos de trabajo.
cve-2026-41922 afecta a un repetidor WiFi permitiendo la ejecución remota de comandos sin necesidad de autenticación. La vulnerabilidad se debe a un manejo inadecuado de parámetros en funciones críticas del sistema.
cve-2026-41923 afecta a un repetidor WiFi con inyección de comandos remota. Permite ejecución arbitraria de código sin necesidad de acceso autorizado. Es una falla crítica por vulnerabilidad en el manejo de parámetros en un archivo CGI.
cve-2026-41924 describe una vulnerabilidad crítica de inyección de comandos en un repetidor WiFi que permite a atacantes ejecutar código arbitrario remotamente sin necesidad de autenticación.
cve-2026-41925 señala una grave ejecución remota de código en un repetidor WiFi. Esta vulnerabilidad permite a atacantes no autenticados inyectar comandos en el sistema afectado, comprometiendo completamente el dispositivo.
cve-2026-41926 afecta a extensores WiFi con una vulnerabilidad crítica de inyección de comandos en el firewall. Permite la ejecución remota persistente de comandos, comprometiendo la seguridad del dispositivo y la red.
cve-2026-42238 afecta a la interfaz web Nginx UI permitiendo ejecución remota de código por restauración no autenticada de backups. La vulnerabilidad permite ejecutar comandos arbitrarios con privilegios elevados tras carga y reinicio de configuración maliciosa.
cve-2026-5722 es una vulnerabilidad crítica en el plugin MoreConvert Pro para WordPress que permite el bypass de autenticación mediante manipulación de tokens de verificación. Esta falla afecta la gestión de listas de espera y permite a atacantes obtener acceso administrativo sin autenticación previa.
cve-2025-13618 es una vulnerabilidad crítica de escalada de privilegios en un plugin de WordPress que permite a atacantes no autenticados obtener acceso administrativo. Este fallo tiene un impacto grave en la seguridad del sistema afectado, facilitando controles no autorizados.
