Top Vulnerabilidades Críticas 14-04-2026

cve-2026-25187 afecta a Microsoft Windows permitiendo acceso no autorizado mediante la manipulación de enlaces simbólicos. Esta vulnerabilidad crítica está siendo explotada activamente y representa un riesgo importante para la seguridad de sistemas afectados. cve-2026-21262 afecta a Microsoft SQL Server 2016 permitiendo a usuarios no autorizados realizar acciones restringidas debido a un control de acceso inadecuado. La explotación activa de esta vulnerabilidad hace que sea un riesgo crítico que debe ser abordado con urgencia. cve-2026-26127 afecta a Microsoft .NET con una vulnerabilidad de lectura fuera de límites que permite divulgación de información y corrupción de memoria. La explotación activa confirma su gravedad y la necesidad de parche inmediato. cve-2023-36424 afecta a Microsoft Windows con una vulnerabilidad crítica de lectura fuera de límites que permite exposición de información sensible y está siendo explotada activamente. cve-2020-9715 describe una vulnerabilidad crítica en Adobe Acrobat que permite la ejecución remota de código mediante un fallo de uso después de liberación. La explotación activa eleva el riesgo para los usuarios de este software de lectura y edición de PDF. cve-2025-60710 afecta a Microsoft Windows y permite la ejecución remota de código mediante vulnerabilidad en el seguimiento de enlaces. Se confirma explotación activa, lo que aumenta su gravedad y riesgo para los usuarios de este sistema operativo. cve-2024-21833 afecta al firmware del router TP-Link Archer AX3000 y permite la ejecución remota de código mediante inyección de comandos OS. La vulnerabilidad ya está siendo explotada activamente, con riesgo crítico para los dispositivos afectados. cve-2026-34865 describe una vulnerabilidad crítica en dispositivos portátiles de Huawei que afecta la memoria y pone en riesgo la disponibilidad y confidencialidad del sistema. La explotación activa confirma la gravedad del problema, exigiendo atención inmediata para proteger los dispositivos afectados. cve-2026-5085 afecta a Solstice Session por generación insegura de identificadores de sesión, permitiendo a atacantes predecir sesiones activas y comprometer la seguridad. Es una vulnerabilidad crítica con impacto directo en el control de accesos. cve-2026-4810 afecta al kit de desarrollo de agentes de Google, permitiendo la ejecución remota de código sin autenticación. Esta vulnerabilidad crítica requiere actualización inmediata a versiones parcheadas para mitigar el riesgo. cve-2026-23891 afecta a Decidim permitiendo ejecución remota de código a través del campo de nombre de usuario. Esta vulnerabilidad tiene un alto impacto en la confidencialidad e integridad de la información. Se ha corregido en versiones recientes del software. cve-2026-6100 afecta a Python y permite la ejecución de código arbitrario mediante reutilización insegura de descompresores tras fallos de memoria. La vulnerabilidad es crítica y su explotación afecta a la estabilidad de la memoria en entornos con presión elevada. cve-2026-40042 expone una grave vulnerabilidad de inyección XML externa en Pachno que permite leer archivos arbitrarios sin permiso. Esta falla afecta a la funcionalidad de análisis XML utilizada en la plataforma de gestión de wikis. cve-2026-40044 afecta a Pachno al permitir la ejecución remota de código mediante deserialización insegura en archivos de caché escribibles sin autenticación. Esta vulnerabilidad crítica expone sistemas a compromisos totales. cve-2026-22562 afecta a equipos de audio en red de Ubiquiti permitiendo ejecución remota de código mediante Path Traversal. Se recomienda actualizar a las versiones oficiales corregidas para evitar explotación activa confirmada. cve-2026-22563 afecta a dispositivos UniFi Play con una vulnerabilidad crítica que permite la inyección de comandos. La explotación de esta falla permite ejecutar código malicioso de forma remota y comprometer el sistema. La actualización a versiones superiores mitiga este riesgo. cve-2026-22564 expone un control de acceso inadecuado en dispositivos Ubiquiti UniFi Play, permitiendo acceso no autorizado mediante SSH. La vulnerabilidad afecta a UniFi Play PowerAmp y UniFi Play Audio Port, y se corrige con actualizaciones de software. cve-2026-27681 afecta a SAP Business Planning and Consolidation y SAP Business Warehouse y permite ejecución de código SQL malicioso. Esta falla compromete la confidencialidad, integridad y disponibilidad de los datos empresariales críticos. cve-2026-4365 afecta a LearnPress para WordPress y permite la eliminación no autorizada de datos mediante explotación remota sin autenticación. La vulnerabilidad se encuentra en el sistema de gestión de cuestionarios al usar un token de seguridad expuesto. cve-2026-6264 es una ejecución remota de código en Talend JobServer y Talend Runtime sin necesidad de autenticación. Esta vulnerabilidad permite a un atacante ejecutar código arbitrario a través del puerto JMX de monitorización. La mitigación implica aplicar parches o reforzar la configuración del puerto vulnerable.