Top Vulnerabilidades Críticas 12-03-2026

cve-2026-3537 afecta a Chromium con un problema en el ciclo de vida de objetos que permite la ejecución remota de código. Esta vulnerabilidad crítica está siendo explotada activamente. cve-2025-15503 afecta un sistema de gestión de seguridad permitiendo acciones no autorizadas por fallo en control de acceso. Esta vulnerabilidad presenta un riesgo crítico dado su uso activo en ataques. cve-2021-24915 es una vulnerabilidad de inyección SQL en contest gallery que permite ejecución remota de código y acceso no autorizado a bases de datos. Esta vulnerabilidad ha sido explotada activamente, siendo crítica por su impacto en la seguridad de la información. cve-2021-4458 es una vulnerabilidad de inyección SQL en modern_events_calendar_lite que permite ejecución remota y acceso no autorizado a bases de datos. Esta falla crítica compromete la seguridad de aplicaciones web y está siendo explotada activamente. cve-2021-44868 es una vulnerabilidad de inyección SQL en Mingsoft mcms que permite ejecución remota y acceso no autorizado a bases de datos. Esta falla crítica está siendo explotada activamente, poniendo en riesgo la integridad y confidencialidad de la información. cve-2022-0785 describe una inyección SQL en daily_prayer_time que permite ejecución remota de código y acceso no autorizado a bases de datos. Esta vulnerabilidad representa un grave riesgo para la seguridad de sistemas afectados por este software. cve-2025-10353 afecta a KEV CONSOLE y permite la evasión de controles y acceso no autorizado mediante manipulación de rutas. La explotación activa está confirmada, lo que la hace crítica y urgente de abordar. cve-2025-34117 afecta a routers Netis Systems mediante inyección de comandos del sistema que permite control total. Esta vulnerabilidad se está explotando activamente y representa un riesgo crítico para la seguridad de la red. cve-2025-62593 afecta a Anyscale Ray ocasionando una ejecución remota de código mediante inyección. La explotación activa confirma la gravedad y la necesidad de medidas inmediatas. cve-2019-19492 afecta a FreeSWITCH y permite acceso no autorizado mediante credenciales fijas. Esta vulnerabilidad es crítica por la explotación activa conocida y el riesgo de compromiso total del sistema de telefonía. cve-2025-57296 afecta al firmware del router Tenda AC6, permitiendo la ejecución remota de comandos debido a una mala neutralización de entradas. Esta vulnerabilidad es crítica y se encuentra en explotación activa, comprometiendo la seguridad de dispositivos de red domésticos. cve-2025-8937 afecta a routers Totolink N350R permitiendo ejecución remota de código mediante vulnerabilidad de inyección. La explotación activa de esta falla la convierte en una amenaza crítica para la seguridad de las redes domésticas y pequeñas oficinas. cve-2020-14080 afecta a routers Trendnet T E W 827D R U. La vulnerabilidad permite ejecución remota de código por escritura fuera de límites en memoria. Es una amenaza crítica en dispositivos de red inalámbricos. cve-2025-52089 afecta a un firmware de dispositivo de red inalámbrica permitiendo la toma de control remoto sin autenticación, con explotación activa confirmada. Es una vulnerabilidad crítica en el contexto de seguridad de redes domésticas y pequeñas oficinas. cve-2022-30425 afecta a routers con un firmware que permite inyección de comandos remotos confirmada. La vulnerabilidad permite a atacantes ejecutar código malicioso en el dispositivo afectado, comprometiendo la seguridad del sistema. cve-2018-6000 afecta a routers ASUS a través de una falta de autorización que permite control remoto. Esta vulnerabilidad es crítica y ya se está explotando activamente. cve-2023-24796 describe una vulnerabilidad crítica de ejecución remota en el firmware del router Vinga WR AC1200. Esta falla permite a atacantes controlar completamente el dispositivo afectado. La explotación activa aumenta el riesgo para usuarios finales. cve-2023-27573 expone una vulnerabilidad crítica en netbox-docker, facilitando acceso con credenciales y token por defecto. Esta falla pone en riesgo la seguridad total de la gestión de infraestructuras de red en ambientes dockerizados. cve-2026-24448 afecta a controladores programables industriales de Mitsubishi Electric, permitiendo acceso administrativo no autorizado por credenciales codificadas. cve-2026-27842 describe una vulnerabilidad crítica de bypass de autenticación en controladores de automatización industrial de Mitsubishi Electric, que permite alterar la configuración del dispositivo. cve-2026-2631 describe una vulnerabilidad crítica en un plugin de WordPress que permite el control remoto total mediante modificación no autenticada de configuraciones. Afecta a la gestión de entregas y facilita la escalada a administrador sin restricciones. cve-2026-3826 afecta a IFTOP de WellChoose. Permite ejecución remota de código debido a inclusión local de archivos. Es crítica y explotada activamente. cve-2026-30903 describe una vulnerabilidad crítica en Zoom Workplace para Windows que permite la escalada de privilegios a través del control externo de rutas o nombres de archivo. Esta falla afecta la seguridad del sistema permitiendo acceso no autorizado y explotación remota. cve-2026-27897 incluye una vulnerabilidad crítica en Vociferous que permite la escritura arbitraria de archivos debido a una falta de validación y configuración de acceso insegura. Esta falla es de alta gravedad y está confirmada su explotación activa, lo que representa un riesgo para la integridad de los datos del sistema afectado. cve-2026-28229 expone plantillas y secretos en Argo Workflows. Esta vulnerabilidad facilita el acceso no autorizado a datos sensibles en entornos Kubernetes. Representa una amenaza crítica para la seguridad de la información en operaciones en la nube y contenedores. cve-2025-67041 afecta a dispositivos Lantronix EDS3000PS, permitiendo la ejecución remota de código con privilegios elevados por una validación insuficiente en el cliente TFTP. Esta vulnerabilidad crítica facilita el control total del sistema comprometido. cve-2025-70082 afecta a Lantronix EDS3000PS, permitiendo la ejecución remota de código y el acceso a información sensible. Esta vulnerabilidad crítica compromete la integridad y la confidencialidad del dispositivo, con explotación activa confirmada. cve-2026-31840 afecta a Parse Server con una inyección SQL crítica debido a un fallo en el escapado de consultas con notación punto. La vulnerabilidad permite comprometer bases de datos PostgreSQL, poniendo en riesgo la integridad y confidencialidad de los datos. cve-2026-31852 afecta a jellyfin jellyfin-ios con ejecución arbitraria de código y toma total del repositorio. Esta vulnerabilidad crítica permite exfiltración de secretos y ataques a la cadena de suministro. cve-2026-31856 es una vulnerabilidad crítica de inyección SQL en Parse Server que permite la lectura no autorizada de datos y la evasión de controles de seguridad en bases de datos PostgreSQL. La explotación confirma la posibilidad de acceso completo mediante peticiones maliciosas por la API REST. cve-2026-31862 afecta a Cloude Code UI Cloud CLI permitiendo ejecución remota de comandos por interpolación insegura en APIs de Git. La vulnerabilidad tiene explotación activa confirmada y severidad crítica. Actualizar a la versión parcheada es esencial para mitigar el riesgo. cve-2026-31871 afecta a Parse Server y permite inyección SQL crítica, con ejecución remota y bypass de controles. La explotación compromete la integridad y confidencialidad de datos en bases PostgreSQL. Se recomienda actualización inmediata a versiones corregidas. cve-2018-25159 permite la ejecución remota de comandos con privilegios elevados en la plataforma de gestión Epross AVCON6. Esta vulnerabilidad crítica de inyección OGNL expone el sistema a ataques remotos sin necesidad de autenticación. cve-2019-25468 describe una vulnerabilidad crítica en NetGain EM Plus que permite la ejecución remota de código sin autenticación. La falla reside en el manejo inseguro de parámetros en un endpoint web, comprometiendo la integridad y el control del sistema. cve-2019-25471 permite la ejecución remota de código en FileThingie 2.5.7 mediante carga arbitraria de archivos. Esta vulnerabilidad crítica surge de la extracción insegura de archivos ZIP con contenido malicioso. cve-2019-25487 afecta al router Sapido RB-1732 permitiendo ejecución remota de comandos sin autenticación. Es una vulnerabilidad crítica con explotación activa que compromete el control total del dispositivo. cve-2026-31874 expone una vulnerabilidad crítica en Taskosaur que permite crear cuentas administrativas sin autenticación. Esto representa un riesgo severo ya que un atacante puede controlar la plataforma completamente. cve-2026-31877 afecta a Frappe y permite inyección SQL que facilita la extracción no autorizada de datos. cve-2026-27478 expone una vulnerabilidad crítica en Unity Catalog que permite la omisión de autenticación por la validación incorrecta de usuarios. Esta falla pone en riesgo el acceso no autorizado y compromete la integridad del sistema. cve-2026-31896 es una inyección SQL crítica en WeGIA que permite ejecutar comandos arbitrarios en la base de datos, con riesgo de exfiltración de datos y denegación de servicio. Esta vulnerabilidad afecta a gestores web para instituciones benéficas y ya tiene una solución disponible. cve-2026-31957 expone una grave vulnerabilidad en Himmelblau que permite autenticación no restringida a dominios arbitrarios en Microsoft Azure Entra ID, reproduciendo riesgos significativos en entornos remotos. Esta falla crucial deriva de la falta de configuración obligatoria del dominio tenant. cve-2026-31976 describe una vulnerabilidad crítica de ejecución remota en Xygeni Action, un GitHub Action utilizado para escaneo de seguridad. La explotación activa permite ejecutar comandos arbitrarios mediante un compromiso en la cadena de suministro que afecta a flujos de trabajo que usan versiones específicas. Esta falla supone un riesgo grave para entornos de integración continua. cve-2026-32096 afecta a la plataforma Plunk permitiendo una vulnerabilidad crítica por SSRF que permite solicitudes HTTP arbitrarias. Esta falla permite ataques remotos sin autenticación previa y ha sido confirmada en explotación activa. cve-2025-66956 afecta a un sistema de gestión de comunicaciones de Asseco y permite la ejecución remota de código mediante un control de acceso inseguro en varios componentes. Esta vulnerabilidad es crítica y presenta un riesgo alto para la seguridad del sistema. cve-2026-27591 describe una vulnerabilidad crítica de escalada de privilegios en Winter CMS que permite a usuarios autenticados obtener control total del sistema. La explotación activa de esta vulnerabilidad está confirmada y representa un riesgo severo para la integridad y seguridad del entorno afectado. cve-2026-32136 afecta a AdGuard Home permitiendo bypass total de autenticación mediante actualización de protocolo HTTP a HTTP/2 sin proteger. Implica acceso remoto y control completo sin validar credenciales.