Top Vulnerabilidades Críticas 16-04-2026

cve-2018-14028 describe una vulnerabilidad crítica en WordPress que permite la carga sin restricciones de archivos peligrosos y la ejecución de código arbitrario. Se trata de una falla grave con explotación activa confirmada que compromete la seguridad de los sitios afectados. cve-2026-1555 describe una vulnerabilidad crítica en WebStack para WordPress, permitiendo la carga arbitraria de archivos sin validar y posibilitando la ejecución remota de código. Esta falla expone los sitios afectados a ataques remotos graves. cve-2026-39842 afecta a OpenRemote y permite ejecución remota de código con privilegios elevados y acceso completo a datos críticos debido a fallos en el motor de reglas y control de acceso. Se confirma explotación activa de esta vulnerabilidad crítica. cve-2026-3461 afecta a un plugin de pagos para WordPress, permitiendo la suplantación completa de usuarios sin necesidad de credenciales. Esta vulnerabilidad crítica aprovecha la falta de verificación de correo electrónico en el proceso de pago exprés. cve-2025-14813 afecta a la biblioteca criptográfica Bouncy Castle BC Java. Presenta una falla crítica en el algoritmo GOSTCTR que limita el procesamiento a 255 bloques, comprometiendo la seguridad de las operaciones criptográficas. cve-2026-33807 describe una vulnerabilidad crítica en Fastify Express que permite eludir controles de seguridad mediante un fallo en el manejo de rutas. La causa es la duplicación de prefijos en middleware heredado, afectando autenticación y autorización. La actualización a la versión segura es obligatoria para evitar explotación. cve-2026-33808 permite a atacantes eludir middleware de autenticación en Fastify debido a la mala normalización de URLs, probada en entornos de producción. Esto causa acceso no autorizado a rutas protegidas en servidores web construidos con este framework. cve-2026-5598 expone una vulnerabilidad crítica en Bouncy Castle BC-JAVA que puede filtrar claves privadas mediante un canal de temporización. Esta falla afecta a la seguridad criptográfica en aplicaciones que usan esta biblioteca. cve-2026-33805 afecta componentes de proxy HTTP de Fastify que procesan mal el encabezado Connection. Permite eliminación de encabezados clave para seguridad y acceso. La actualización a versiones seguras es esencial para proteger el sistema. cve-2026-5387 permite la escalada de privilegios en simuladores de formación industrial. Esta vulnerabilidad crítica afecta la integridad y gestión de ambientes de entrenamiento permitiendo el acceso no autorizado. cve-2025-15610 impacta en OpenText RightFax con una grave vulnerabilidad de deserialización permitiendo la ejecución remota de código. Se trata de una falla crítica que puede comprometer completamente los sistemas afectados. cve-2026-20147 afecta a Cisco Identity Services Engine y permite ejecución remota de código con privilegios elevados, y puede causar denegación de servicio en dispositivos afectados. cve-2026-20180 afecta a Cisco Identity Services Engine, permitiendo ejecución remota de código y denegación de servicio. Un atacante con credenciales limitadas puede comprometer el sistema operativo y afectar la disponibilidad del nodo. cve-2026-20184 detalla una falla grave en Cisco Webex Services que permite a atacantes remotos suplantar usuarios mediante la manipulación de tokens por una validación incorrecta de certificados. Esta vulnerabilidad afecta directamente la autenticación y el acceso seguro a la plataforma. cve-2026-20186 describe una ejecución remota de código crítica en Cisco Identity Services Engine. Permite a atacantes autenticados con credenciales limitadas tomar control del sistema y provocar denegación de servicio. La vulnerabilidad se debe a falta de validación de entradas en solicitudes HTTP. cve-2026-5189 afecta a Sonatype Nexus Repository Manager con una vulnerabilidad crítica que permite ejecución remota de código mediante credenciales codificadas en la configuración. El fallo facilita acceso completo sin autenticación y control del sistema comprometido. cve-2025-41118 afecta a Pyroscope y permite la extracción de claves secretas desde la API cuando se utiliza Tencent Cloud Object Storage. Esto representa un riesgo crítico para la confidencialidad de la información debido a la explotación activa confirmada. La mitigación requiere restringir el acceso a usuarios y sistemas confiables. cve-2026-6296 presenta un desbordamiento de búfer en pila en Google Chrome que permite la ejecución remota de código y la evasión de la sandbox. cve-2026-40173 expone un token administrativo sin autenticar en Dgraph, lo que permite acceso no autorizado a funciones críticas. Esta vulnerabilidad es crítica y permite el control total de la configuración del sistema. cve-2026-6388 afecta a Red Hat ArgoCD Image Updater permitiendo la escalada de privilegios en entornos multiinquilino. Esta vulnerabilidad permite hacer actualizaciones no autorizadas y compromete la integridad de las aplicaciones. cve-2026-4880 afecta a un plugin de WordPress para gestión de inventario y punto de venta. Permite a atacantes no autenticados escalar privilegios a administrador mediante manipulación de tokens y capacidad de usuario. Esta vulnerabilidad crítica debe ser corregida de inmediato. cve-2026-40959 expone una vulnerabilidad crítica en Luanti 5 que permite la ejecución arbitraria de código mediante escape de sandbox. Esta falla afecta a la seguridad en tiempo de ejecución de scripts LuaJIT. cve-2026-40504 afecta a Creolabs Gravity al permitir la ejecución remota de código vía desbordamiento de búfer en el montón. Esta vulnerabilidad se origina por una insuficiente comprobación de límites en la gestión de memoria del motor de scripts. cve-2026-6348 afecta a Simopro Technology WinMatrix agent con una vulnerabilidad crítica de ejecución remota de código sin autenticación. Permite a atacantes locales autenticados ejecutar código con privilegios elevados en múltiples sistemas. cve-2026-6349 corresponde a una vulnerabilidad crítica de inyección de comandos en el sistema iSherlock de HGiga, que permite la ejecución remota de código sin necesidad de autenticación. Esta falla pone en riesgo la seguridad integral del servidor afectado. cve-2026-6350 describe una vulnerabilidad crítica en el software MailAudit de Openfind que permite la ejecución remota de código mediante un desbordamiento de búfer basado en pila. Esta falla representa un riesgo alto al permitir a atacantes no autenticados tomar el control total del sistema afectado.