Top Vulnerabilidades Críticas 15-04-2026

cve-2026-32201 presenta una vulnerabilidad crítica de ejecución remota de código con explotación activa confirmada. Afecta a un producto cuyo fabricante y descripción exacta no han podido ser determinados. Representa un riesgo significativo para la seguridad de los sistemas afectados. cve-2026-40288 afecta a PraisonAI permitiendo ejecución remota de comandos arbitrarios mediante archivos YAML no validados. Esta falla crítica permite comprometer completamente los sistemas afectados y acceder a datos confidenciales. cve-2026-40289 afecta a PraisonAI y PraisonAI Agents permitiendo el secuestro remoto de sesiones de navegador mediante un fallo en la validación del encabezado Origin y la ausencia de autenticación en el endpoint WebSocket. Esto permite control no autorizado, fuga de información sensible y manipulación remota de acciones automatizadas en el sistema. cve-2026-40313 describe una vulnerabilidad crítica en los flujos de trabajo de GitHub Actions de PraisonAI que permite la filtración de tokens y compromete la cadena de suministro. La actualización a la versión corregida es esencial para prevenir ataques que incluyen la inyección de código malicioso y robo de secretos. cve-2026-2449 es una vulnerabilidad crítica en upKeeper Instant Privilege Access que permite la toma de control de hilos privilegiados mediante inyección de argumentos. Esta falla en la neutralización de delimitadores de comandos representa un riesgo grave para la seguridad de sistemas que necesiten gestión de privilegios. Se recomienda aplicar las mitigaciones oficiales para evitar explotación. cve-2025-8095 afecta a Progress OpenEdge debido a un uso inseguro de codificación criptográfica para la protección de contraseñas. Esto permite la explotación activa para comprometer secretos de autenticación en entornos empresariales. cve-2025-63939 afecta a un sistema de gestión de tiendas de comestibles permitiendo inyección SQL crítica. Esta vulnerabilidad puede comprometer plenamente la base de datos y la seguridad del sistema. cve-2025-65135 afecta a un sistema de gestión escolar permitiendo una inyección SQL ciega basada en tiempo. Esto facilita el acceso no autorizado a información sensible mediante el control del parámetro fromdate. cve-2026-38526 expone una grave vulnerabilidad en Webkul Krayin CRM que permite la ejecución remota de código mediante la carga arbitraria de archivos. Este fallo puede comprometer completamente el sistema y es prioritario para su corrección urgente. cve-2026-39808 afecta a Fortinet FortiSandbox permitiendo la ejecución remota de comandos debido a una inyección de comandos en el sistema operativo. Esta vulnerabilidad crítica puede comprometer la integridad y control del sistema afectado. cve-2026-39813 describe una vulnerabilidad crítica de escalada de privilegios en Fortinet FortiSandbox por path traversal. Esta falla permite un acceso ilícito que compromete la integridad del sistema. cve-2026-26149 afecta a Microsoft Power Apps permitiendo la elusión de mecanismos de seguridad por manejo incorrecto de entradas. La gravedad es crítica y puede facilitar ataques remotos por usuarios autorizados. cve-2026-27243 afecta a Adobe Connect con una vulnerabilidad crítica de Cross-Site Scripting reflejado que permite la ejecución remota de código en el navegador. Esta falla pone en riesgo la integridad de las sesiones y la seguridad del usuario. cve-2026-27245 afecta a Adobe Connect con una grave vulnerabilidad de Cross-Site Scripting reflejado que permite la ejecución remota de código en el navegador del usuario. La explotación activa está confirmada y presenta una alta severidad que puede comprometer la seguridad de los usuarios. cve-2026-27246 afecta a Adobe Connect con una vulnerabilidad crítica de tipo Cross-Site Scripting basada en DOM que permite la ejecución remota de código en el navegador del usuario víctima tras interactuar con un enlace malicioso. cve-2026-27303 afecta a Adobe Connect permitiendo ejecución remota de código sin interacción del usuario. Es una vulnerabilidad crítica basada en deserialización insegura de datos y con alta gravedad. cve-2026-33824 es una vulnerabilidad crítica en Microsoft Windows IKE Extension que permite la ejecución remota de código por una doble liberación de memoria. Esta falla tiene explotación activa confirmada y representa un riesgo elevado para la seguridad de los sistemas afectados. cve-2026-34615 afecta a Adobe Connect permitiendo la ejecución remota de código sin necesidad de interacción del usuario mediante una vulnerabilidad en la deserialización de datos. cve-2026-5752 describe una vulnerabilidad crítica que permite ejecución arbitraria de código con privilegios de root en Cohere Terrarium mediante la manipulación de la cadena de prototipos en JavaScript. Esta falla representa un riesgo elevado para entornos que utilizan esta plataforma de sandboxing. cve-2026-27304 describe una vulnerabilidad crítica en Adobe ColdFusion que permite la ejecución remota de código sin interacción del usuario. Esta falla de validación de entrada afecta directamente a servidores de aplicaciones, comprometiendo gravemente su seguridad. cve-2026-34457 describe una grave omisión de autenticación en OAuth2 Proxy, que permite acceso no autorizado mediante configuraciones específicas. Esta falla es crítica y afecta a versiones anteriores a la 7.15.2. cve-2026-35031 afecta a Jellyfin permitiendo ejecución remota de código a través de la subida de subtítulos con recorrido de ruta y escalada de privilegios. Esta vulnerabilidad crítica requiere permisos administrativos o permisos para subir subtítulos para su explotación y ha sido corregida en la última versión. cve-2026-35033 expone un grave fallo en Jellyfin que permite la lectura arbitraria de archivos sensibles sin necesidad de autenticación. Esta vulnerabilidad afecta la seguridad de servidores multimedia autohospedados mediante la inyección directa en parámetros del sistema de streaming. cve-2026-39399 afecta a NuGetGallery y permite ejecución remota de código por inyección de metadatos cruzados. Esta vulnerabilidad crítica puede comprometer la integridad y seguridad del repositorio de paquetes. Se confirma explotación activa por manipulación de archivos nuspec.