Top Vulnerabilidades Críticas 09-05-2026

cve-2026-6692 describe una vulnerabilidad crítica en Themepunch Slider Revolution que permite la subida no controlada de archivos peligrosos, facilitando la ejecución remota de código. Esta falla pone en riesgo la integridad y seguridad de sitios web que utilizan este plugin. cve-2026-41500 afecta a electerm y permite ejecución remota de código debido a inyección de comandos sin validación. Esta vulnerabilidad crítica facilita el control total del sistema afectado. cve-2026-41501 describe una vulnerabilidad crítica en electerm que permite la ejecución remota de comandos debido a una inyección no validada. Esta falla afecta a un cliente terminal y varios protocolos, poniendo en riesgo la integridad del sistema. cve-2026-43941 afecta a Electerm y permite la ejecución remota de código mediante enlaces no validados en la terminal. Esta vulnerabilidad crítica se aprovecha con la interacción del usuario y compromete la seguridad local del dispositivo. cve-2026-43944 afecta a electerm permitiendo la ejecución remota de código mediante enlaces o accesos directos manipulados con un impacto crítico en el control del sistema. cve-2024-51092 describe una ejecución remota de código en LibreNMS relacionada con inyección de comandos. Esta vulnerabilidad crítica permite el control total del sistema afectado. cve-2023-46453 afecta a dispositivos GL.iNet permitiendo bypass de autenticación y control administrativo completo. La vulnerabilidad se basa en la manipulación del nombre de usuario con formato SQL y expresión regular. Esto supone un riesgo crítico para la seguridad de la red. cve-2025-69690 afecta a Netgate pfSense CE permitiendo ejecución remota de código a través del instalador de módulos con archivos serializados. Esta falla crítica compromete la seguridad completa del sistema con acceso administrador. cve-2025-69691 afecta a Netgate pfSense CE permitiendo ejecución remota de código mediante la API XMLRPC. Esta vulnerabilidad es crítica y permite la ejecución con privilegios administrativos, representando un riesgo severo para la seguridad del sistema. cve-2013-10075 describe una vulnerabilidad en Apache Session que permite la reactivación de sesiones eliminadas, poniendo en riesgo la integridad y confidencialidad de los datos. cve-2026-6213 afecta a Remote Spark SparkView permitiendo ejecución remota de código con privilegios de root sin autenticación. Es una vulnerabilidad crítica que compromete la seguridad del sistema al evitar la verificación de conexiones locales. cve-2026-8076 expone una vulnerabilidad crítica en CashDro 3 que permite accesos no autorizados mediante fuerza bruta en credenciales PIN. Esta falla compromete la seguridad del panel de administración y la confidencialidad de sus configuraciones. cve-2026-8153 afecta al software de control de robots Universal Robots PolyScope, permitiendo la ejecución remota de comandos sin autenticación. Esta vulnerabilidad es crítica por permitir control completo sobre el sistema del robot. cve-2022-50994 afecta a routers DrayTek Vigor 2960 permitiendo ejecución remota de código mediante inyección de comandos. Esta vulnerabilidad crítica permite a un atacante sin autenticar ejecutar comandos con privilegios en el servidor web bajo condiciones específicas. cve-2026-25199 describe una vulnerabilidad crítica en Apache CloudStack que permite acceso no autorizado entre inquilinos debido a una gestión incorrecta de identidades de máquinas virtuales Proxmox. Esta falla concede a atacantes control completo sobre máquinas virtuales ajenas. Es imprescindible la actualización a la última versión para mitigar el riesgo. cve-2026-41497 afecta a PraisonAI permitiendo la ejecución remota de código por entrada no validada. Esta vulnerabilidad es crítica debido a la ejecución arbitraria en sistemas afectados, con explotación confirmada. cve-2026-41507 afecta a math-codegen permitiendo la ejecución remota de código por inyección en funciones dinámicas.El fallo se produce por falta de saneamiento en el análisis de expresiones matemáticas. cve-2026-41512 afecta a un modelo de seguridad IA de NVIDIA permitiendo ejecución remota de código por inyección de JavaScript. Se trata de una falla crítica con impacto severo en la seguridad del sistema afectado. cve-2026-44125 describe una grave vulnerabilidad en SEPPmail Secure Email Gateway que permite acceso remoto sin autenticación a funciones restringidas. Esta falla de autorización afecta múltiples componentes del sistema y es explotada activamente, representando un riesgo crítico para la seguridad del correo electrónico seguro. cve-2026-44126 afecta a SEPPmail Secure Email Gateway permitiendo ejecución remota de código mediante deserialización insegura. Esta vulnerabilidad es crítica y con explotación activa confirmada, representando un riesgo severo para la infraestructura afectada. cve-2026-44128 afecta a SEPPmail Secure Email Gateway y permite la ejecución remota de código sin necesidad de autenticación gracias a la manipulación de entradas en Perl eval. Esta vulnerabilidad es crítica y permite control total del sistema vulnerable. cve-2026-44336 describe una ejecución remota de código en PraisonAI MCP server debido a manejo inseguro de rutas. Esta falla crítica permite a atacantes acceder y modificar archivos arbitrarios, alcanzando ejecución remota con privilegios del usuario. La vulnerabilidad ha sido parcheada en la versión 4.6.34. cve-2026-37431 expone una inyección SQL crítica en Beauty Parlour Management System. La falla permite acceder a datos sensibles mediante manipulación del parámetro aptnumber en la gestión de citas. cve-2026-41574 aborda una vulnerabilidad crítica en Nhost que permite la suplantación de identidad por errores en la validación de correos electrónicos en proveedores OAuth. La falla permite fusionar correctamente identidades y obtener acceso completo a cuentas ajenas. cve-2026-41583 expone una grave división de consenso en nodos Zcash Zebra debido a un fallo en la validación de reglas sobre valores sighash. Esta vulnerabilidad permite bloques inválidos que afectan la integridad de la red. La severidad es crítica con riesgo comprobado de explotación activa. cve-2026-41584 describe una denegación de servicio crítica en Zebra, un nodo Zcash. El problema surge por el manejo incorrecto de claves nulas en transacciones Orchard, lo que permite a atacantes provocar fallos en el nodo. La vulnerabilidad ha sido corregida en versiones recientes del software. cve-2026-41588 expone una vulnerabilidad crítica de temporización en induce relate que afecta a la autenticación. Permite ataques que comprometen la seguridad de la sesión y debe actualizarse inmediatamente. cve-2026-44497 expone una falla crítica en Zebra que permite la aceptación incorrecta de firmas inválidas, causando divisiones en el consenso de la red. La vulnerabilidad se debe a un manejo inadecuado de errores en el cálculo del tipo de firma y ha sido corregida en versiones recientes del software. cve-2026-44498 afecta a Zebra de Zcash permitiendo un ataque que puede fragmentar la red mediante bloques inválidos. La vulnerabilidad se basa en una validación incorrecta del límite de operaciones de firma en bloques, generando problemas críticos de consenso. cve-2026-41070 afecta a openvpn-auth-oauth2, permitiendo accesos no autorizados a conexiones VPN por fallo en el control de autenticación. Esta vulnerabilidad crítica pone en riesgo la integridad del acceso remoto en entornos afectados. cve-2026-38360 afecta a fohrloop dash-uploader con una ejecución remota de código vía traversal de directorios en peticiones HTTP. Esta vulnerabilidad es crítica y se encuentra en explotación activa, representando un riesgo alto para sistemas afectados. cve-2026-42072 expone la base de datos NornicDB a accesos no autorizados debido a una configuración defectuosa del servidor Bolt. La vulnerabilidad permite que dispositivos en la red local accedan con credenciales por defecto sin autorización. La actualización a la versión parcheada es obligatoria para mitigar el riesgo. cve-2026-8178 afecta a Amazon Redshift JDBC Driver y permite ejecución remota de código al cargar clases arbitrarias mediante parámetros en la URL. La mitigación consiste en actualizar el controlador a la versión 2.2.2 o posterior para evitar el riesgo de ejecución de código malicioso. cve-2026-42160 afecta a Sovity Data Space Portal y permite accesos no autorizados debido a fallos en la autorización de cuentas pendientes. Esta vulnerabilidad crítica permite a atacantes manipular funciones internas de la plataforma con altos privilegios. cve-2026-42193 expone una grave falla en la plataforma de correo Plunk, permitiendo suplantar mensajes SNS sin autenticación. La vulnerabilidad afecta la integridad del servicio y puede causar manipulación y gasto fraudulento. cve-2026-42287 afecta a Emlog permitiendo inyección SQL directa y compromiso total de la base de datos. La vulnerabilidad es crítica y la explotación ha sido confirmada. cve-2026-42298 afecta a Postiz, permitiendo ejecución remota y robo de tokens con privilegios elevados. Esta vulnerabilidad crítica se explota mediante solicitudes pull maliciosas que alteran el proceso de construcción Docker. cve-2026-42302 describe una grave vulnerabilidad de ejecución remota en FastGPT que permite control total del sistema afectado sin necesidad de autenticación. La falla se debe a una configuración errónea que expone el servicio a toda la red. cve-2026-42354 afecta a Sentry y permite la toma completa de cuentas de usuario mediante una vulnerabilidad crítica en el sistema SAML SSO. Es fundamental actualizar para evitar accesos no autorizados y suplantaciones de identidad. cve-2026-42454 es una vulnerabilidad crítica que permite ejecución remota de código en Termix mediante inyección de comandos en parámetros de contenedores Docker. Afecta a la gestión de servidores, comprometiendo totalmente la seguridad del sistema. cve-2026-44313 afecta a Linkwarden y permite realizar solicitudes HTTP arbitrarias a sistemas internos mediante una vulnerabilidad SSRF. Esta falla es crítica, con un puntaje CVSS de 9.1, y permite a usuarios autenticados evadir validaciones de URL débiles.