Top Vulnerabilidades Críticas 11-03-2026

cve-2024-12213 permite la elevación de privilegios debido a una configuración incorrecta en ApusThemes Superio. Esta vulnerabilidad está siendo explotada activamente y requiere atención urgente para evitar riesgos graves. cve-2024-11951 describe una gestión incorrecta de privilegios en Google Chrome que permite la elevación no autorizada de permisos. La vulnerabilidad se encuentra en un error de validación y está siendo explotada activamente, representando un riesgo crítico para los usuarios. cve-2021-24205 describe una vulnerabilidad crítica de Cross-site Scripting en Elementor Website Builder que permite la ejecución remota de código malicioso. Esta falla está siendo explotada activamente y representa un riesgo significativo para la seguridad web. cve-2021-34641 presenta una vulnerabilidad de cross site scripting en el plugin seopress para WordPress que permite la ejecución remota de código en el navegador. Se encuentra en explotación activa, lo que la convierte en una amenaza crítica para sitios afectados. cve-2024-10781 es una vulnerabilidad crítica en Cleantalk Spam Protection que afecta su manejo de condiciones excepcionales, impactando la integridad y disponibilidad del sistema. La explotación activa confirma la gravedad del problema en entornos protegidos por este software. cve-2023-7289 es una vulnerabilidad de falta de autorización en Paytium Missing Authorization que permite accesos no autorizados a funciones críticas. Esta vulnerabilidad se está explotando activamente, lo que la hace especialmente crítica en el ámbito de sistemas de pago digital. cve-2026-0953 describe una falla crítica de autenticación que permite el acceso no autorizado en un producto de seguridad. La explotación activa de esta vulnerabilidad supone un riesgo grave para la integridad y confidencialidad del sistema afectado. cve-2021-24353 afecta a WPDeveloper Simple 301 Redirects y permite explotación activa por falta de autorización, lo que facilita redirecciones maliciosas. Esta vulnerabilidad crítica pone en riesgo la integridad de sitios web que usan este plugin. cve-2025-14975 es una vulnerabilidad crítica en Kev que permite la gestión inadecuada de privilegios y acceso no autorizado. Su explotación activa representa un riesgo elevado para la seguridad y confidencialidad del sistema. cve-2015-8351 expone una vulnerabilidad crítica de inyección de código en Gwolle Guestbook que permite la ejecución remota de código. Esta vulnerabilidad está siendo explotada de forma activa, representando un riesgo significativo para los sitios afectados. cve-2023-41243 afecta a Wpvivid Migration Backup Staging permitiendo escalada de privilegios mediante mala gestión de permisos. Esta vulnerabilidad crítica se está explotando activamente pudiendo comprometer sistemas WordPress con ese plugin. Es esencial implementar controles de acceso adecuados para mitigar el riesgo. cve-2025-11924 afecta a NinjaForms permitiendo omisión de autorización mediante claves controladas por el usuario. Esta vulnerabilidad crítica puede permitir accesos no autorizados a funcionalidades protegidas y su explotación está confirmada. cve-2024-13375 describe una vulnerabilidad grave de cambio de contraseña no verificado en un sistema de gestión de contraseñas. La falla permite acceso no autorizado y está siendo explotada activamente. Se recomienda aplicar parches y controles de validación robústos. cve-2024-6695 afecta al plugin Profile Builder de Cozmoslabs, permitiendo la autorización incorrecta que deja acceder a funciones restringidas sin permiso. Esta falla está siendo explotada activamente, lo que incrementa su gravedad. cve-2025-13390 describe una vulnerabilidad crítica en wpdirectorykit wp_directory_kit debido a un fallo en el algoritmo de autenticación. Permite la explotación activa para acceder a funcionalidades sin permiso legítimo. cve-2021-4358 afecta a LegalWeb WP DSGVO Tools con una vulnerabilidad crítica de tipo Cross-Site Scripting que permite ejecución remota de código en navegadores. La explotación activa de esta vulnerabilidad la convierte en una prioridad para cualquier entorno afectado. cve-2024-8277 afecta al plugin woocommerce_photo_reviews de villatheme. Permite omitir autenticación mediante rutas alternativas, lo que facilita accesos no autorizados. Esta vulnerabilidad se está explotando activamente y es crítica. cve-2020-6008 afecta a LifterLMS y permite la ejecución remota de código mediante la subida de archivos peligrosos sin validación. Esta vulnerabilidad está siendo explotada activamente y representa un riesgo crítico para sistemas afectados. cve-2021-24290 afecta a store locator plus con una vulnerabilidad crítica de cross-site scripting. Permite la ejecución remota de código malicioso en el navegador. Se ha confirmado explotación activa de esta vulnerabilidad. cve-2025-12845 afecta a un producto crítico con una grave vulnerabilidad de autorización ausente. La explotación permite acceso no autorizado y la vulnerabilidad se encuentra en uso activo, lo que la convierte en una amenaza inmediata. cve-2019-5434 afecta a Revive Adserver permitiendo ejecución remota de código mediante deserialización insegura. Esta vulnerabilidad se encuentra en explotación activa y representa un grave riesgo para la integridad de sistemas que utilicen este software. cve-2022-0948 afecta a un complemento de comercio electrónico con inyección SQL que permite ejecución remota de comandos. Esta vulnerabilidad crítica está siendo explotada activamente, poniendo en riesgo la integridad de las bases de datos. cve-2026-28431 afecta a Misskey causando acceso no autorizado y filtración de datos debido a controles insuficientes de permisos y validación. La vulnerabilidad es crítica con una puntuación alta de severidad, permitiendo a atacantes acceder a información restringida. cve-2025-11158 afecta al software de integración y análisis de datos de Hitachi Vantara. Permite la ejecución remota de código a través de scripts maliciosos en informes. La vulnerabilidad es crítica y confirmada en explotación activa. cve-2026-27685 describe una vulnerabilidad crítica de deserialización insegura en SAP NetWeaver Enterprise Portal Administration que permite afectar la confidencialidad, integridad y disponibilidad del sistema con explotación activa confirmada. cve-2026-30862 afecta a la plataforma Appsmith permitiendo la toma completa del control administrativo a través de una vulnerabilidad crítica de ejecución de código almacenado. Un usuario común puede forzar la ejecución de comandos privilegiados, comprometiendo la seguridad del sistema. cve-2026-30869 es una vulnerabilidad crítica de recorrido de rutas en SiYuan que permite la exposición de archivos sensibles y el acceso administrativo remoto. La explotación confirmada de esta falla afecta la seguridad general del sistema y puede derivar en ejecución de código remota. cve-2026-30887 es una ejecución remota de código crítica en OneUptime que permite el compromiso total del sistema mediante escape de sandbox en Node.js. cve-2026-30921 afecta a OneUptime Synthetic Monitors permitiendo ejecución remota de código mediante Playwright. Esta vulnerabilidad crítica tiene un puntaje CVSS de 9.9 y permite ejecutar código arbitrario en el servidor. Se recomienda actualizar a la versión segura. cve-2025-40943 expone a dispositivos Siemens a ejecución remota de código mediante archivos de traza manipulados. Esta vulnerabilidad crítica por inadecuada sanitización facilita ataques con ingeniería social que permiten la ejecución arbitraria de código. cve-2025-41709 afecta a un componente crítico con capacidad de ejecución remota de código. Esta vulnerabilidad presenta un impacto severo en sistemas afectados y está siendo explotada activamente. Es fundamental atender esta vulnerabilidad de inmediato para proteger la infraestructura. cve-2025-56422 afecta a LimeSurvey con una vulnerabilidad crítica de deserialización que permite la ejecución remota de código. Es un fallo grave que compromete la seguridad del servidor. cve-2025-69614 describe una vulnerabilidad crítica en el portal de gestión de cuentas de Deutsche Telekom que permite el restablecimiento de contraseñas sin autorización y la toma completa de cuentas. Esta falla se debe a un control de acceso inadecuado en el proceso de validación del token de activación. cve-2025-69615 describe una vulnerabilidad crítica de control de acceso en el portal de gestión de cuentas de Deutsche Telekom AG. Permite eludir la autenticación multifactor mediante fuerza bruta ilimitada. Esta falla expone grave riesgo de acceso no autorizado. cve-2026-30956 afecta a OneUptime y permite la exposición de datos entre inquilinos y el control total de cuentas de usuario. La vulnerabilidad proviene de una omisión en los controles de autorización internos debido a cabeceras manipuladas por el cliente. Esta falla crítica eleva el riesgo de acceso no autorizado y compromete la seguridad de múltiples usuarios. cve-2026-30957 afecta a OneUptime Synthetic Monitors permitiendo ejecución remota de código mediante comandos arbitrarios en el servidor. Esta vulnerabilidad crítica aprovecha la ejecución insegura de código dentro del entorno Node y la exposición del navegador para crear procesos maliciosos. Se recomienda actualización para mitigar el riesgo. cve-2026-30960 afecta a la biblioteca rssn de Apich Organization permitiendo ejecución arbitraria de código mediante entradas maliciosas en su motor JIT. Esta falla crítica facilita el control total del proceso afectado con riesgos altos en entornos de computación científica y simulación. cve-2026-3843 expone el sistema de automatización para estaciones de servicio de Nefteprodukttekhnika a inyección SQL y posible ejecución remota de código. Esta vulnerabilidad crítica afecta directamente a la seguridad y control del sistema. cve-2026-28292 permite la ejecución remota de código en el módulo simple-git para node.js al eludir correcciones anteriores de seguridad. Esta vulnerabilidad es crítica y tiene un impacto grave en sistemas que usan versiones vulnerables del paquete. cve-2025-48611 describe una vulnerabilidad crítica en Android que permite la escalada local de privilegios sin interacción del usuario. Esta falla destaca por evitar controles esenciales en la gestión de identificadores de dispositivo, facilitando control total en el sistema operativo móvil. cve-2026-27825 permite la ejecución remota de código en Atlassian MCP por escritura arbitraria en rutas sin restricciones. Esta vulnerabilidad crítica impacta en la integridad y disponibilidad del servidor, confirmando explotación activa y destacando la importancia de aplicar la actualización disponible. cve-2026-28495 permite la ejecución remota de código en GetSimpleCMS a través de una vulnerabilidad en el plugin massiveAdmin. La falta de protección contra CSRF facilita que un atacante remoto sin autenticación comprometa el sistema. Esta vulnerabilidad es crítica y se encuentra en explotación activa. cve-2026-29792 describe una grave vulnerabilidad en Feathersjs que permite a un atacante obtener tokens de acceso sin pasar por la autenticación. Esta falla afecta la seguridad del flujo OAuth y puede ser explotada de forma activa para suplantar usuarios. cve-2026-29793 en Feathers puede permitir inyección de consultas que comprometen bases de datos MongoDB. Esta vulnerabilidad permite a un atacante acceder a información restringida mediante un argumento no validado en servicios web en tiempo real. cve-2026-0124 reporta una vulnerabilidad crítica de escritura fuera de límites en Google Android que permite la escalada local de privilegios sin interacción del usuario. Esta falla grave podría comprometer la seguridad del sistema operativo móvil. cve-2026-30965 afecta a parse community parse server y permite la exfiltración de tokens de sesión para tomar control de cuentas. Esta vulnerabilidad crítica explota la manipulación de parámetros en la consulta y requiere capacidad para modificar objetos con relaciones. Está solucionada en las versiones más recientes. cve-2026-30966 permite acceso total no autorizado a roles y permisos en Parse Server, comprometiendo la gestión de datos y seguridad del backend. Se corrige en las versiones recientes que restringen el acceso mediante claves adecuadas. cve-2026-28806 afecta a nerves-hub nerves_hub_web permitiendo control no autorizado de dispositivos entre organizaciones. Esto puede conllevar interferencias en actualizaciones y comprometer totalmente los dispositivos. La explotación activa está confirmada, lo que eleva la criticidad de esta falla. cve-2026-23813 afecta a HPE AOS-CX switches permitiendo omisión de autenticación y reinicio de contraseña administrativa. Esta vulnerabilidad es crítica y facilita el control remoto no autorizado. cve-2026-29515 describe una vulnerabilidad crítica en MiCode FileExplorer que permite omitir la autenticación del servidor FTP y acceder sin credenciales. Esta falla permite un control completo sobre los archivos gestionados por el explorador, con un nivel de riesgo altamente crítico.