Top Vulnerabilidades Críticas 10-04-2026

cve-2026-34424 presenta una vulnerabilidad crítica de ejecución de código embebido que se está explotando activamente. Esta falla afecta a sistemas sin especificación clara del fabricante ni producto, comprometiendo la integridad del sistema y su seguridad. cve-2026-39987 describe una falla crítica de autenticación que permite a atacantes ejecutar operaciones sensibles sin autorización. Esta vulnerabilidad tiene explotación activa confirmada y representa un riesgo grave para la seguridad de los sistemas afectados. cve-2026-1830 permite la ejecución remota de código en Quick Playground para WordPress debido a fallos en la autorización. Esta vulnerabilidad crítica aprovecha la carga arbitraria de archivos y traversal de rutas para comprometer el servidor. cve-2026-34177 es una vulnerabilidad crítica que permite escalada de privilegios en Canonical LXD mediante inyección de configuraciones no bloqueadas. Esta falla afecta la seguridad del entorno de máquinas virtuales, comprometiendo la integridad del sistema anfitrión. cve-2026-34178 permite a un atacante autenticado saltarse las restricciones de proyecto y ejecutar configuraciones peligrosas en Canonical LXD, comprometiendo el host. Esta vulnerabilidad es crítica y está confirmada su explotación activa. cve-2026-34179 afecta a Canonical LXD permitiendo a atacantes autenticados escalar privilegios hasta administrador de clúster. Esta vulnerabilidad se debe a una validación insuficiente en la gestión de certificados TLS. cve-2025-57735 afecta a Apache Airflow con una vulnerabilidad crítica en la invalidación de tokens JWT al cerrar sesión. La vulnerabilidad permite la reutilización de tokens en caso de interceptación, comprometiendo la autenticación y el acceso. cve-2025-62718 afecta a Axios por permitir omitir configuración de proxy y realizar ataques de SSRF a servicios internos protegidos. Esta vulnerabilidad crítica permite a atacantes alcanzar recursos sensibles a través de direcciones loopback mal gestionadas. cve-2026-39980 afecta a OpenCTI permitiendo ejecución remota de código en la plataforma por un fallo en la sanitización de plantillas. Esta vulnerabilidad es crítica y tiene explotación activa confirmada. cve-2026-28205 afecta a OpenPLC V3 al permitir acceso no autorizado mediante omisión de autenticación. Esta vulnerabilidad es crítica y explotable activamente, poniendo en riesgo sistemas de control industrial. cve-2026-34971 afecta a Wasmtime y permite la ejecución arbitraria de código mediante un fallo en la compilación de accesos a memoria en arquitecturas aarch64. Esta vulnerabilidad permite a módulos invitados eludir las comprobaciones de límites y acceder a memoria fuera de su espacio asignado. cve-2026-34987 permite acceso fuera de límites en Wasmtime de Bytecode Alliance, arriesgando filtración de datos y ejecución remota. Esta vulnerabilidad crítica se debe a un error en el compilador Winch y tiene explotación confirmada en ciertas arquitecturas. La afectación impacta la integridad y la confidencialidad del entorno de ejecución WebAssembly. cve-2026-35556 afecta a OpenPLC_V3 con una grave vulnerabilidad de almacenamiento de contraseñas en texto plano que permite el acceso no autorizado a información sensible. Esta falla crítica tiene un alto impacto en sistemas de automatización industrial. cve-2026-39912 describe una vulnerabilidad crítica que permite la toma de control total de cuentas en V2Board y Xboard mediante la exposición de tokens de autenticación. Esta vulnerabilidad facilita el acceso completo sin necesidad de autenticación previa. cve-2025-13926 afecta a Contemporary Controls BASC 20T permitiendo suplantación de solicitudes y ejecución remota. Esta vulnerabilidad crítica tiene un alto riesgo debido a la manipulación de tráfico en la red. cve-2026-40088 afecta a un sistema multiagente por ejecución remota de comandos debido a inyección mediante metacaracteres. Representa un riesgo crítico al permitir control total por usuarios maliciosos. cve-2026-40089 afecta a Sonicverse con una vulnerabilidad crítica tipo Server-Side Request Forgery. Permite realizar peticiones HTTP arbitrarias desde el backend. El impacto principal es la posible manipulación de sistemas internos o externos. cve-2026-5194 afecta a wolfSSL y permite la aceptación de firmas ECDSA con hashes menores a los permitidos, comprometiendo la seguridad en la verificación de certificados. Esta vulnerabilidad crítica reduce la fiabilidad de la autenticación basada en certificados en conexiones TLS. cve-2026-33771 describe una falla crítica en Juniper Networks CTP OS que permite acceso no autorizado mediante contraseñas débiles debido a una configuración de seguridad que no se aplica. La explotación activa de esta vulnerabilidad facilita el control total del sistema afectado. cve-2026-33784 detalla una grave vulnerabilidad que permite acceso total sin autenticación a un sistema crítico de Juniper Networks. Esta falla de seguridad reside en la no obligatoriedad de cambiar la contraseña inicial de una cuenta privilegiada, facilitando así ataques remotos y comprometiendo la integridad del sistema. cve-2026-40111 describe una vulnerabilidad crítica en PraisonAI Agents que permite la ejecución remota de comandos sin sanitización. La vulnerabilidad afecta la seguridad operativa del sistema mediante la ejecución persistente de código malicioso durante eventos automatizados. cve-2026-40154 es una vulnerabilidad crítica en PraisonAI que permite la ejecución remota de código mediante plantillas maliciosas sin control de integridad. Esta falla abre la puerta a ataques en la cadena de suministro a través de plantillas remotas.