Top Vulnerabilidades Críticas 07-03-2026

cve-2026-2446 permite a atacantes no autenticados modificar opciones críticas y crear usuarios administrador en PowerPack for LearnDash. Esta vulnerabilidad crítica permite un control completo del sitio web afectado. cve-2026-26051 expone estaciones de carga eléctrica a suplantación y control no autorizado por falta de autenticación en su punto WebSocket. La explotación activa de esta vulnerabilidad permite manipular datos y escalar privilegios para controlar la infraestructura de carga. cve-2026-26288 afecta a OCPP WebSocket Endpoints, permitiendo suplantación y control no autorizado de estaciones de carga eléctrica mediante falta de autenticación. Esta vulnerabilidad crítica permite manipular datos y escalar privilegios en la infraestructura de carga. cve-2026-28514 afecta a Rocket Chat permitiendo la omisión de autenticación y tomando control de cuentas mediante fallo en la validación de contraseñas. Esta vulnerabilidad grave está confirmada como explotada activamente y ha sido corregida en versiones recientes del software. cve-2026-30843 describe una vulnerabilidad crítica de referencia directa insegura en Wekan que permite modificar datos en tableros sin autorización. La validación inadecuada en las operaciones sobre campos personalizados expone la aplicación a manipulaciones de datos entre usuarios. cve-2026-30844 afecta a Wekan permitiendo ataques SSRF por carga insegura de URLs en archivos adjuntos. Esta vulnerabilidad es crítica y permite la ejecución de solicitudes arbitrarias a servicios internos, comprometiendo la seguridad de la red. cve-2026-30847 expone datos sensibles de usuarios en Wekan, facilitando la toma completa de cuentas mediante la filtración de contraseñas y tokens. Es una vulnerabilidad crítica que permite suplantación de sesiones y acceso no autorizado a información privada. cve-2026-29789 describe una falla crítica en Vito que permite a un usuario autenticado con permisos limitados controlar servidores de otros proyectos. La vulnerabilidad afecta la gestión y despliegue de aplicaciones PHP y su explotación ha sido confirmada. cve-2026-25070 afecta al switch de red XikeStor SKS8310-8X permitiendo ejecución remota de comandos con privilegios root sin necesidad de autenticación. Es una vulnerabilidad crítica con explotación activa confirmada que puede comprometer el control total del dispositivo.