Top Vulnerabilidades Críticas 15-05-2026

cve-2026-42897 afecta a Kev Console y permite ataques de Cross-site Scripting debido a la incorrecta neutralización de entradas web. Esta explotación activa puede permitir la ejecución de código malicioso en navegadores. cve-2026-8181 afecta a Burst Statistics vulnerabilidad crítica de autenticación permitiendo acceso no autorizado y explotación activa. cve-2026-20182 afecta a Cisco Catalyst SD-WAN Controller y permite eludir la autenticación, comprometiendo la seguridad del controlador. Esta vulnerabilidad destaca por su explotación activa y gravedad crítica. cve-2023-2523 afecta a la plataforma e-office permitiendo la subida de archivos maliciosos sin restricciones, lo que posibilita la ejecución remota de código. Se trata de una vulnerabilidad crítica en un sistema de oficina electrónica con explotación activa confirmada. cve-2026-6271 afecta a un plugin de WordPress que permite la carga arbitraria de archivos y la ejecución remota de código. La vulnerabilidad es crítica y su explotación está confirmada. cve-2026-6510 describe una falla crítica en el plugin InfusedWoo Pro para WordPress que permite la escalada de privilegios sin necesidad de autenticación previa. La vulnerabilidad radica en la falta de verificación de autorizaciones en funciones AJAX, lo que facilita el control total de cuentas de usuario. cve-2026-6512 afecta a InfusedWoo Pro plugin para WordPress con bypass de autorización que permite a atacantes no autenticados eliminar contenido y cambiar estados de publicaciones. Esta vulnerabilidad es crítica y permite acciones maliciosas sin restricción de permisos. cve-2025-11024 describe una vulnerabilidad crítica de inyección SQL ciega en la plataforma de comercio electrónico de Akilli Commerce que permite acceso y manipulación de datos. Esta vulnerabilidad representa un riesgo grave para la integridad y confidencialidad de la información almacenada. cve-2026-2347 se refiere a una vulnerabilidad crítica en un sitio web de comercio electrónico de Akilli Commerce Software Technologies que permite el secuestro de sesiones mediante bypass de autorización. Esta falla afecta directamente la integridad y privacidad del usuario al permitir el control no autorizado de claves de sesión. cve-2026-42457 describe una vulnerabilidad crítica de Cross-Site Scripting en Loft vCluster Platform que permite ejecución remota de código y escalado de privilegios a nivel administrador. Esta amenaza representa un riesgo grave para entornos Kubernetes gestionados con esta plataforma. cve-2026-44482 expone a SoundCloud soundcloud-rpc a ejecución remota de código a través de metadatos maliciosos en pistas de audio. La falla afecta la capacidad de ejecutar comandos locales sin restricción, generando un riesgo crítico para los usuarios de la aplicación. cve-2026-44484 describe una vulnerabilidad crítica en PyTorch Lightning que permite la obtención maliciosa de credenciales por funcionalidad comprometida. Este fallo afecta la seguridad de los modelos de inteligencia artificial al permitir accesos no autorizados. cve-2026-42281 expone MagicMirror² a ataques remotos que pueden filtrar información confidencial y manipular solicitudes internas. Esta vulnerabilidad crítica permite acceso no autorizado a redes internas y extracción de secretos del servidor. cve-2026-42589 afecta a Gotenberg y permite ejecución remota no autenticada mediante inyección de comandos en metadatos PDF. La vulnerabilidad tiene máxima severidad y explotación activa confirmada, lo que supone un riesgo crítico para sistemas que utilicen esta API. cve-2026-42596 describe una vulnerabilidad crítica en Gotenberg que permite a atacantes eludir listas de bloqueo y acceder a servicios internos mediante solicitudes manipuladas. Esto representa un riesgo alto para la seguridad de la red y los servicios privados alojados. cve-2026-42555 afecta a Valtimo con ejecución remota de código y robo de credenciales mediante evaluación insegura de expresiones. Se confirma explotación activa. La vulnerabilidad tiene severidad crítica y requiere actualización urgente. cve-2026-41615 afecta a Microsoft Authenticator permitiendo la exposición de información sensible a atacantes no autorizados mediante la red. Esta falla crítica compromete la confidencialidad y seguridad de los datos del usuario. cve-2026-44542 afecta a FileBrowser Quantum permitiendo la eliminación arbitraria de archivos mediante recorrido de directorios. Esta vulnerabilidad crítica permite a atacantes sin autenticar dañar datos fuera de la carpeta compartida. cve-2026-22599 afecta a Strapi y permite inyección de consultas con ejecución remota de código y lectura de archivos a través del API Content-Type Builder. La vulnerabilidad se corrige restringiendo el acceso a esta API solo en modo desarrollo y bloqueando su acceso en producción. cve-2026-27886 afecta a Strapi al permitir ataques de oráculo booleano que exponen tokens administrativos y permiten la toma completa de control sin autenticación. La vulnerabilidad se debe a un pobre saneamiento de parámetros de consultas relacionales en su sistema de gestión de contenido. cve-2026-41315 afecta a midoks mdserver web con ejecución remota de comandos debido a falta de autenticación en tareas programadas. Permite control total del sistema a atacantes remotos sin autorización previa. cve-2026-44523 expone una falla crítica en Note Mark relacionada con la configuración débil del secreto JWT, poniendo en riesgo la integridad y confidencialidad de las sesiones de usuario. cve-2026-44588 afecta a Siyuan por una vulnerabilidad crítica que permite ejecución de código remota mediante inyección HTML en tooltips. La falla se debe a un manejo incorrecto de caracteres en atributos accesibles desde el código, lo que posibilita obtener acceso total al sistema. cve-2026-44592 afecta a Gradient permitiendo acceso no autorizado y manipulación remota del sistema. Esta vulnerabilidad crítica permite escalada de privilegios y alteración de datos sin autenticación, poniendo en riesgo la integridad y operación de la plataforma. cve-2026-44670 afecta a SiYuan y permite ejecución remota de código debido a inyección HTML y configuración insegura. Esta vulnerabilidad es crítica y está siendo explotada activamente, afectando la integridad del sistema y la seguridad del entorno de navegador integrado. cve-2026-45375 afecta a SiYuan Bazaar por ejecución remota de código debido a falta de escape HTML en campos específicos. Esta vulnerabilidad crítica permite a un atacante ejecutar código al interactuar con el marketplace del sistema. cve-2026-8511 describe una vulnerabilidad crítica en Google Chrome que permite la evasión del sandbox a través de una página HTML manipulada. Esta falla puede ser explotada remotamente y representa un riesgo significativo para la seguridad del navegador. cve-2026-8580 es una vulnerabilidad crítica en Google Chrome que permite la ejecución remota de código y el escape del sandbox a través de una página HTML manipulada. Esto supone un riesgo grave para la seguridad del navegador y sus usuarios. cve-2026-8634 expone variables de entorno sensibles en OpenClaw Crabbox, permitiendo el acceso no autorizado a credenciales remotas. La vulnerabilidad representa un riesgo crítico debido a la posible divulgación de datos confidenciales mientras se ejecutan comandos remotos. cve-2026-44212 afecta a PrestaShop y permite un ataque crítico de Cross-Site Scripting almacenado que compromete completamente el back-office. Esta vulnerabilidad se explota mediante el envío de entradas maliciosas en el formulario de contacto público, con impacto grave en la seguridad administrativa. cve-2026-44666 afecta al servidor de conversión de archivos HRConvert2 permitiendo la ejecución remota de comandos debido a un saneamiento insuficiente en la función de procesamiento de cadenas. Este problema crítico permite a un atacante ejecutar comandos arbitrarios en el sistema vulnerable.