Top Vulnerabilidades Críticas 13-03-2026

cve-2024-3495 afecta a MongoDB y permite ejecución remota de código mediante validación insuficiente de datos, con explotación activa confirmada. Esta falla representa un riesgo crítico para la integridad y disponibilidad de los sistemas afectados. cve-2024-4841 describe una vulnerabilidad crítica de Path Traversal en lollms webui que permite acceso no autorizado a archivos mediante manipulación de rutas. Esta vulnerabilidad está siendo activamente explotada y representa un riesgo grave para la seguridad de los datos. cve-2026-26133 afecta a Microsoft M365 Copilot permitiendo la divulgación no autorizada de información. Esta vulnerabilidad es explotada activamente, lo que la hace especialmente peligrosa para la seguridad y privacidad de los usuarios. cve-2026-3059 expone una vulnerabilidad crítica de ejecución remota en el módulo de generación multimodal de SGLang. Esta falla permite ejecutar código arbitrario sin autenticación a través de la deserialización insegura con pickle. cve-2026-3060 permite la ejecución remota de código sin autenticación en el sistema SGLang encoder parallel disaggregation. Esta vulnerabilidad crítica se debe a una deserialización insegura. Representa un riesgo muy alto por ejecución arbitraria remota. cve-2026-21666 afecta a Veeam Backup Server permitiendo ejecución remota de código por un usuario autenticado. Esta falla crítica pone en riesgo la integridad y disponibilidad del sistema de respaldo. cve-2026-21667 permite la ejecución remota de código en Veeam Backup Server mediante un usuario autenticado, representando un riesgo crítico para entornos empresariales. Esta vulnerabilidad destaca por su gravedad y metas posibles de ataque. cve-2026-21669 presenta una vulnerabilidad crítica que permite la ejecución remota de código en Veeam Backup Server por usuarios autenticados. Esta falla pone en riesgo la integridad y disponibilidad del sistema de copias de seguridad y requiere atención inmediata. cve-2026-21671 expone una ejecución remota de código en Veeam Backup & Replication que afecta a usuarios con el rol de administrador de copias de seguridad en despliegues de alta disponibilidad. Este fallo crítico permite tomar control total del sistema vulnerable, representando un riesgo grave para la integridad y disponibilidad de datos protegidos. cve-2026-28384 afecta a Canonical LXD con una vulnerabilidad crítica de ejecución remota de código desde usuarios autenticados. La causa principal es el incorrecto saneamiento del parámetro compression_algorithm en la API. La falla permite la ejecución de comandos con privilegios elevados, lo que representa un riesgo grave para entornos afectados. cve-2026-21708 afecta a Veeam Backup Viewer con una vulnerabilidad crítica de ejecución remota de código. Esta falla permite a un atacante ejecutar comandos con privilegios de usuario postgres, lo que compromete gravemente la seguridad del sistema. cve-2026-28792 es una vulnerabilidad crítica en tinacms que permite ataques remotos para modificar archivos arbitrarios a través de un recorrido de ruta y una configuración CORS insegura. Esta falla afecta significativamente la seguridad y privacidad del sistema de gestión de contenidos. cve-2026-28252 presenta una vulnerabilidad crítica en sistemas de control HVAC de Trane que permite la omisión de la autenticación y acceso root. cve-2026-32137 describe una vulnerabilidad crítica en Dataease que permite inyección SQL mediante parámetros no filtrados. Esta falla facilita la ejecución remota de código malicioso y la toma de control de bases de datos. cve-2026-32140 afecta a Dataease por ejecución remota de código mediante la carga arbitraria de archivos de configuración en el controlador JDBC. Esta falla es crítica y permite a un atacante remoto controlar la aplicación causando graves daños. cve-2026-26793 destaca por permitir la ejecución remota de comandos en routers GL-iNet GL-AR300M16. Esta falla severa compromete la integridad y el control del dispositivo. cve-2026-32242 afecta a Parse Server causando validación incorrecta de tokens OAuth2 entre proveedores diferentes. Esta falla permite que un token no autorizado sea validado y aceptado, comprometiendo la seguridad de la autenticación. cve-2026-32248 afecta a Parse Server permitiendo el secuestro de cuentas mediante autenticación anónima mal gestionada. La explotación activa de esta vulnerabilidad permite a atacantes obtener acceso a cualquier cuenta de usuario sin credenciales. Se recomienda actualizar a versiones parcheadas para mitigar el riesgo. cve-2026-32251 afecta a la plataforma de localización Tolgee permitiendo lectura arbitraria de archivos y solicitudes internas mediante XML maliciosos. Esta vulnerabilidad es crítica y de explotación activa. cve-2026-3611 expone una vulnerabilidad crítica en el controlador Honeywell IQ4x que permite la creación remota de cuentas administrativas sin autenticación, comprometiendo la gestión del sistema y el acceso legítimo.