Top Vulnerabilidades Críticas 14-05-2026

cve-2026-42647 afecta a Google Chrome causando ejecución remota de código debido a manejo incorrecto de memoria. Esta vulnerabilidad es crítica y está siendo explotada activamente. cve-2025-11159 describe una grave vulnerabilidad en Pentaho Data Integration & Analytics de Hitachi Vantara que permite ejecución remota de código mediante su controlador JDBC para bases de datos H2. Esta falla crítica afecta la seguridad de la integración y análisis de datos en esta plataforma. cve-2026-32661 es una vulnerabilidad crítica de ejecución remota de código en GUARDIANWALL MailSuite y GUARDIANWALL Mail Security Cloud. Permite a atacantes ejecutar código con privilegios elevados mediante solicitudes maliciosas al servicio web. Esta falla representa un riesgo grave para la seguridad del sistema de correo electrónico. cve-2026-41050 afecta a SUSE Fleet Helm deployer, permitiendo la exposición de secretos en clústeres gestionados. Esta vulnerabilidad crítica por fallo en la suplantación de cuentas de servicio facilita la lectura de datos sensibles para un usuario con permisos limitados. cve-2026-40621 expone acceso no autorizado en dispositivos ELECOM wireless LAN access point. Esta falla crítica permite manipulación remota sin autenticación. La explotación activa de esta vulnerabilidad la hace especialmente peligrosa. cve-2026-42062 afecta a dispositivos ELECOM y permite la ejecución remota de comandos sin necesidad de autenticación, debido a una inyección de comandos en el sistema operativo. cve-2020-37168 expone una vulnerabilidad crítica en Systempay Ecommerce Systempay que permite el acceso y manipulación de claves secretas mediante fuerza bruta. Esto compromete la integridad de las firmas de pago y posibilita la manipulación de transacciones. cve-2026-42945 afecta a servidores NGINX Plus y NGINX Open Source causando desbordamiento de búfer y posible ejecución remota. Esta falla permite ataques remotos sin autenticación, afectando la estabilidad y seguridad del servicio. Se recomienda aplicar mitigaciones rápidamente para evitar explotación. cve-2026-43997 afecta a la biblioteca vm2 para Node.js, permitiendo la evasión del sandbox y la ejecución de código en el contexto del host. Esta vulnerabilidad es crítica y se debe mitigar actualizando a la versión segura. cve-2026-43999 describe una vulnerabilidad crítica en vm2 que permite la ejecución remota de código al evadir restricciones en la carga de módulos incorporados. Esta falla afecta la seguridad de entornos de ejecución aislados dentro de Node.js. Se debe actualizar a la versión corregida para mitigar el riesgo. cve-2026-44005 afecta a la sandbox vm2 de patriksimek permitiendo la mutación remota del objeto prototipo y la ejecución de código malicioso con privilegios elevados. Es una vulnerabilidad crítica que pone en riesgo la integridad del entorno Node.js. cve-2026-44006 afecta a vm2 y permite acceso no autorizado a prototipos, posibilitando la ejecución remota de código con privilegios elevados. Esta vulnerabilidad es crítica y con explotación activa confirmada. cve-2026-44007 afecta a vm2 permitiendo la ejecución remota de código arbitrario mediante configuraciones inseguras en NodeVM. Esta vulnerabilidad es crítica y compromete completamente aplicaciones que utilizan sandbox con nesting habilitado. cve-2026-44008 afecta a vm2, un sandbox para Node.js, permitiendo la ejecución remota de comandos fuera del entorno seguro. Esta falla crítica permite a atacantes escapar del sandbox y tomar control del sistema anfitrión. cve-2026-44009 afecta a vm2 causando ejecución remota de código. Esta vulnerabilidad crítica permite la ejecución arbitraria dentro de la sandbox de Node.js. Se confirma explotación activa y es esencial actualizar la versión del producto. cve-2026-45411 permite la ejecución remota de código en vm2, una sandbox para Node.js, mediante escape de la sandbox. Esta vulnerabilidad crítica afecta directamente la seguridad del sistema anfitrión y su explotación es confirmada. cve-2026-44351 afecta a la biblioteca fast-jwt, permitiendo la creación de tokens falsos sin autenticación. Esta vulnerabilidad crítica se basa en la incorrecta gestión de claves vacías durante la verificación de firmas. La explotación activa y la corrección disponible hacen imprescindible su actualización. cve-2026-44364 afecta a MISP Modules y permite ataques de Cross-Site Request Forgery que modifican datos de sesión en usuarios autenticados. Esta vulnerabilidad crítica fue corregida con la activación completa de protección CSRF y mejoras en el análisis de solicitudes. cve-2026-44377 afecta a CubeCart y permite ejecución remota de código gracias a la inyección de plantillas en el servidor. Un atacante autenticado puede explotar esta falla crítica para obtener pleno control del sistema y divulgar información sensible. cve-2026-44381 afecta a MISP y permite inyección SQL mediante parámetros no validados en consultas de ordenación, con acceso y modificación no autorizada de datos. cve-2026-45053 se trata de una vulnerabilidad crítica en CubeCart que permite la ejecución remota de código a través de su API REST. Afecta a la capacidad de subir y ejecutar archivos PHP maliciosos, poniendo en riesgo la integridad del servidor. cve-2026-45714 describe una vulnerabilidad crítica en CubeCart que permite ejecución remota de código en el servidor a través de inyección de plantillas del lado servidor autenticada. Esta falla afecta a la seguridad de servidores con versiones anteriores a la 6.7.0 de CubeCart. cve-2026-44193 afecta a la plataforma de firewall OPNsense permitiendo ejecución remota de código debido a fallos en la validación de entradas XMLRPC. Esta vulnerabilidad crítica puede comprometer completamente los sistemas afectados. cve-2026-44194 afecta a OPNsense y permite ejecución remota de código como root mediante evasión de validaciones en la sincronización de usuarios. Esta falla crítica con explotación confirmada representa un riesgo severo para la integridad del sistema. cve-2026-44442 afecta a ERPNext permitiendo la modificación no autorizada de datos debido a fallos en la comprobación de permisos. Esta vulnerabilidad crítica de alta gravedad permite a usuarios sin privilegios alterar datos más allá de su rol asignado. cve-2026-45158 afecta a OPNsense permitiendo ejecución remota de código con privilegios root mediante entrada no desinfectada en DHCP. Esta vulnerabilidad crítica compromete el control completo del dispositivo.