Top Vulnerabilidades Críticas 06-05-2026

cve-2024-13365 afecta un plugin de seguridad para plataformas web, permitiendo la subida sin restricciones de archivos maliciosos. Esta vulnerabilidad crítica permite la ejecución remota de código y está siendo explotada activamente. cve-2024-11349 permite la omisión de autenticación en ScriptsBundle AdForest. Esta vulnerabilidad crítica afecta la seguridad del acceso y está siendo explotada activamente. cve-2024-11350 describe una vulnerabilidad crítica en scriptsbundle adforest que permite acceso no autorizado por un sistema débil de recuperación de contraseñas. Esta falla es explotada activamente, lo que eleva su peligrosidad y requiere atención inmediata. cve-2026-5294 describe una falla crítica en el plugin Geeky Bot de WordPress que permite la ejecución remota de código mediante instalación arbitraria de plugins sin autenticación. cve-2026-40797 afecta a un plugin de WordPress que permite la inyección SQL ciega y compromete la seguridad de las bases de datos. Es una vulnerabilidad crítica que facilita el acceso no autorizado a información sensible y posible manipulación de datos. cve-2023-54342 presenta una vulnerabilidad crítica de ejecución remota de código en Eclipse Equinox OSGi. Permite a atacantes sin autenticación ejecutar código arbitrario y obtener control remoto mediante una conexión telnet al servicio de consola. cve-2023-54344 afecta a Eclipse Equinox OSGi y permite la ejecución remota de código a través de comandos maliciosos en la consola sin necesidad de autenticación. Esta vulnerabilidad crítica permite a atacantes controlar el sistema objetivo y establecer conexiones reversas. cve-2026-43534 describe una vulnerabilidad crítica en OpenClaw que permite escalar privilegios mediante metadatos externos manipulados. Este fallo afecta a la gestión de eventos y agentes en el sistema, facilitando la ejecución no autorizada de comandos en contexto privilegiado. cve-2026-43566 afecta a OpenClaw con una vulnerabilidad crítica de escalada de privilegios que permite mantener permisos elevados mediante eventos webhook maliciosos. Esta falla pone en riesgo la integridad del sistema y la ejecución segura de procesos automatizados. cve-2026-36356 permite ejecución remota de código en dispositivos MeiG Smart FORGE_SLT711 mediante inyección de comandos sin autenticación. cve-2026-7411 permite un ataque de path traversal en Eclipse BaSyx Java Server SDK que puede llevar a ejecución remota de código y control completo del sistema. La vulnerabilidad se debe a una inadecuada normalización de rutas en la API HTTP de subida de archivos. cve-2026-27960 describe una vulnerabilidad de escalada de privilegios crítica en OpenCTI que permite la explotación remota no autenticada para controlar la API como usuarios privilegiados. Se recomienda aplicar la mitigación que deshabilita el administrador por defecto para evitar accesos no autorizados. cve-2026-33324 afecta a un sistema Text-to-SQL permitiendo ejecución remota de código mediante inyección SQL. La vulnerabilidad permite a atacantes autenticados ejecutar comandos arbitrarios y comprometer servidores. cve-2026-34084 afecta a la biblioteca PhpSpreadsheet permitiendo ejecución remota de código y ataques SSRF mediante rutas manipuladas con wrappers PHP. Se recomienda aplicar las versiones actualizadas para evitar explotación activa confirmada y riesgos críticos. cve-2026-34458 describe una vulnerabilidad crítica en Sandboxie-Plus que permite la inyección de configuración maliciosa y la escalada de privilegios a SYSTEM. Es posible escapar del sandbox debido a la falta de validación en mensajes IPC, lo que expone a los usuarios a riesgos graves de seguridad. cve-2026-40329 describe una crítica inyección SQL en MasaCMS que permite ejecución remota de comandos en base de datos y escalada de privilegios. La vulnerabilidad afecta versiones anteriores a la 7.5.3 y puede ser mitigada con reglas WAF y actualizaciones. cve-2026-40330 afecta a MasaCMS con una vulnerabilidad crítica de inyección SQL que permite extracción y modificación de datos, y posible ejecución remota de código. La mitigación incluye actualización a versiones corregidas o el uso de un firewall de aplicaciones. cve-2026-40331 afecta a Masa CMS debido a una inyección SQL en la API JSON no autenticada que permite la exposición de datos sensibles. Esta vulnerabilidad crítica tiene un impacto severo en la seguridad de las credenciales administrativas y otros datos protegidos.