Top Vulnerabilidades Críticas 16-05-2026

cve-2026-0481 describe una vulnerabilidad crítica en el AMD Device Metrics Exporter que puede permitir la alteración remota no autorizada de la configuración GPU, afectando gravemente la disponibilidad del sistema. cve-2026-5229 expone una grave omisión de autenticación en el plugin Form Notify para WordPress, permitiendo a atacantes acceder a cuentas administrativas mediante manipulación de cookies durante el login OAuth de LINE. cve-2026-7182 y cve-2026-41552 afectan a un módulo de exportación PDF de DHTMLX, permitiendo la inclusión no autorizada de archivos locales en documentos generados. Ambas vulnerabilidades permiten a atacantes sin autenticar acceder a información sensible, representando un riesgo crítico de seguridad. cve-2026-7182 y cve-2026-41553 afectan al módulo PDF Export de DHTMLX, permitiendo la ejecución remota de código debido a la falta de saneamiento y validación de parámetros. Ambas vulnerabilidades permiten un control total del servidor tras la explotación. Se recomienda actualizar a la versión 0.7.6 para mitigar estos riesgos. cve-2026-7182 describe una vulnerabilidad crítica de Path Traversal en el módulo de exportación de Diagram que permite la inclusión no autorizada de archivos locales en PDFs generados. cve-2026-2031 afecta a Google Cloud Application Integration y permite a atacantes remotos no autenticados divulgar información sensible y ejecutar código arbitrario explotando fallos en el control de acceso de endpoints internos. cve-2026-41258 permite ejecución remota de código en OpenMRS Core debido a plantillas Velocity inseguras sin aislamiento, comprometiendo gravemente la integridad del sistema. cve-2026-42155 describe una vulnerabilidad crítica en Magento L T S que permite el secuestro de sesiones mediante generación predecible de IDs en la API. La explotación activa puede afectar la autenticación y la integridad de sesiones en plataformas e-commerce. cve-2026-44699 expone una grave falla de autenticación en libjwt. Esta vulnerabilidad permite falsificar tokens JWT sin clave secreta real, afectando la seguridad de sistemas que usan esta biblioteca. cve-2026-44717 afecta a MCP Calculate Server con ejecución remota de código debido a evaluación insegura de entradas. La vulnerabilidad es crítica y permite control remoto total del sistema vulnerado. cve-2026-45035 afecta a Tabby y permite la ejecución remota de código mediante enlaces maliciosos que ejecutan comandos sin confirmación ni filtrado, lo que puede comprometer completamente el sistema de la víctima. cve-2021-47965 afecta a un plugin de WordPress, permitiendo la carga de archivos maliciosos sin restricciones. Esto puede derivar en ejecución remota de código y control total del sistema vulnerable. cve-2026-45010 describe una grave vulnerabilidad que permite eludir la autenticación de dos factores en phpMyFAQ y acceder como administrador. Esta falla crítica se debe a la ausencia de límites en los intentos de autenticación y la falta de vinculación de sesión en el punto de verificación. cve-2026-46364 afecta a phpMyFAQ al permitir una inyección SQL no autenticada que expone datos sensibles. Esta vulnerabilidad ha sido explotada activamente, poniendo en riesgo la seguridad del sistema y sus usuarios. cve-2026-44551 afecta a la autenticación en Open WebUI permitiendo acceso sin contraseña. Esta vulnerabilidad crítica permite obtener un token de sesión completo usando un password vacío debido a la falta de validación.