Top Vulnerabilidades Críticas 07-04-2026

cve-2023-21529 afecta a Microsoft Exchange Server permitiendo la ejecución remota de código mediante deserialización insegura. Esta vulnerabilidad crítica está siendo explotada activamente, representando un riesgo grave para la seguridad de los sistemas afectados. cve-2023-49606 afecta a Tinyproxy y permite la ejecución remota de código debido a un error Use After Free en la gestión de memoria. La vulnerabilidad está siendo explotada activamente y representa un riesgo crítico para los sistemas afectados. cve-2022-3254 afecta a Strategy11 AWP Classifieds, permitiendo ejecución remota de código por inyección SQL. Esta vulnerabilidad pone en riesgo la integridad y confidencialidad de los datos en la base de datos sin protección adecuada. cve-2022-28987 afecta a Zoho ManageEngine ADSelfService Plus permitiendo ejecución remota de código debido a falta de validación. La explotación activa demuestra el riesgo elevado para sistemas afectados. cve-2023-24000 describe una vulnerabilidad crítica de inyección SQL en gamipress gamipress. Esta falla permite el acceso y manipulación no autorizada de datos, con explotación activa confirmada. cve-2026-1557 describe una vulnerabilidad crítica de recorrido de directorios que permite acceso no autorizado a archivos restringidos. La explotación activa la convierte en una amenaza urgente para sistemas afectados. cve-2026-26026 es una vulnerabilidad crítica en GLPI que permite la ejecución remota de código mediante inyección de plantilla con privilegios administrativos. Su severidad es alta y existe explotación activa confirmada que compromete la seguridad del sistema. cve-2026-34208 afecta a SandboxJS y permite la ejecución remota de código por manipulación de objetos globales. Es una vulnerabilidad crítica y confirmada, con la recomendación de actualizar a la versión corregida. cve-2026-34950 afecta a la biblioteca fast JWT de NearForm permitiendo ataques de confusión de algoritmo que pueden eludir la verificación de firmas. Esta falla crítica facilita la falsificación de tokens JSON Web. cve-2026-34841 describe una grave vulnerabilidad en Bruno IDE causada por un ataque a la cadena de suministro que instala un troyano remoto. Este problema crítico permite la ejecución remota de código con potencial control total del sistema afectado. cve-2026-34976 afecta a Dgraph y permite la ejecución remota y acceso no autorizado a datos sensibles. Esta falla se produce por la falta de control de autenticación en una función crítica de la base de datos abierta. cve-2026-34977 describe una falla crítica que permite ejecución remota de código con privilegios de root en Aperi Solve. Esta vulnerabilidad afecta a la seguridad de datos y la integridad del sistema, representando una amenaza seria para la infraestructura y los usuarios de la plataforma. cve-2026-34989 afecta a CodeIgniter CI4MS provocando una vulnerabilidad crítica de cross-site scripting almacenado por entrada no saneada en nombres de perfil. Esta falla permite la ejecución remota de código malicioso en múltiples vistas de la aplicación. cve-2026-35030 afecta a LiteLLM permitiendo suplantación mediante colisión de tokens JWT que otorga acceso y permisos de otros usuarios. Es crítica y con explotación conocida. La solución es actualizar a una versión corregida. cve-2026-35039 afecta a la implementación de JSON Web Tokens en fast-jwt de nearform, causando colisiones en la caché y confundiendo la identidad de usuarios durante la verificación. Esto genera riesgos críticos en la autenticación y autorización, con explotación activa confirmada. cve-2026-35047 afecta a BraveCMS y permite la ejecución remota de código mediante carga no restringida de archivos. Esta vulnerabilidad es crítica y ha sido explotada activamente, comprometiendo servidores y servicios. cve-2026-35050 afecta a text-generation-webui permitiendo ejecución remota de código mediante sobrescritura de archivos Python. Esta vulnerabilidad crítica ha sido explotada activamente y está corregida en la versión 4 punto 1 punto 1. cve-2026-35171 permite la ejecución remota de código en Kedro debido a la carga insegura de configuraciones de logging. Esta falla crítica afecta a sistemas de ciencia de datos que utilizan esta herramienta y debe ser mitigada actualizando a la versión segura. cve-2026-35174 afecta a Xenocrat Chyrp Lite y permite la ejecución remota de código mediante un recorrido de ruta en la consola de administración que posibilita la descarga y modificación de archivos críticos. cve-2025-54328 compromete procesadores y módems Samsung mediante desbordamiento de búfer en SMS. Permite ejecución remota de código con alto impacto. Es una vulnerabilidad crítica confirmada en la explotación y manejo de mensajes RP-DATA. cve-2026-35022 presenta una vulnerabilidad crítica de inyección de comandos en Anthropic Claude Code CLI y Claude Agent SDK que permite la ejecución remota de código y el robo de credenciales con privilegios elevados. Esta falla afecta directamente la seguridad del entorno donde se utilizan estas herramientas de integración de agentes de IA. cve-2026-35178 afecta a Salesforce Workbench con una vulnerabilidad crítica de ejecución remota de código relacionada con la conversión insegura de valores de cookies. Esta falla permite a un atacante ejecutar código arbitrario de forma remota, comprometiendo la seguridad del sistema. La corrección está disponible en la versión 65 del producto. cve-2026-35459 afecta a pyLoad y permite la explotación de una vulnerabilidad SSRF mediante redirecciones no seguras que se saltan validaciones. La falla está en la configuración que sigue automáticamente redirecciones sin verificar la validez del destino, exponiendo sistemas internos a accesos no autorizados. cve-2026-35392 afecta a goshs por una falla en la sanitización de rutas en cargas HTTP que permite ejecución remota de código. Esta vulnerabilidad presenta un riesgo crítico con explotación activa confirmada, comprometiendo la integridad del servidor. cve-2026-35393 afecta a goshs, un servidor HTTP simple, y permite la ejecución de código malicioso debido a la falta de saneamiento en cargas POST multipart. Esta vulnerabilidad es crítica y ha sido confirmada su explotación activa. cve-2026-35471 afecta a patrick hener goshs permitiendo recorrido de ruta y ejecución no autorizada de comandos. La vulnerabilidad se debe a un fallo en la función de borrado de archivos sin el retorno adecuado tras la comprobación.