Top Vulnerabilidades Críticas 17-04-2026

cve-2026-3596 describe una vulnerabilidad crítica en el plugin Riaxe Product Customizer de WordPress que permite la escalada de privilegios mediante una acción AJAX no protegida. Esta falla facilita la creación de usuarios con permisos administrativos sin necesidad de autenticación, representando un riesgo alto para sitios afectados. cve-2026-31843 es una vulnerabilidad crítica en el paquete goodoneuz pay-uz para Laravel que permite la ejecución remota de código mediante un endpoint sin autenticación que sobrescribe archivos PHP. Este fallo afecta gravemente a la seguridad de la aplicación y permite control total del sistema. cve-2026-6270 afecta a Fastify y permite eludir la autenticación en rutas hijas. La vulnerabilidad es crítica y tiene explotación activa confirmada. Se debe actualizar a la versión corregida para evitar accesos no autorizados. cve-2026-37338 afecta a un sistema musical en la nube con una vulnerabilidad crítica de inyección SQL que permite acceso no autorizado a datos sensibles. Esta falla compromete la integridad y confidencialidad de la información en el producto. cve-2026-37345 presenta una inyección SQL crítica en SourceCodester Vehicle Parking Area Management System. Permite la manipulación de bases de datos y acceso no autorizado a información sensible. cve-2026-37347 expone una vulnerabilidad crítica de inyección SQL en un sistema de gestión de nóminas, permitiendo acceso y manipulación de datos sensibles. Es esencial aplicar medidas de saneamiento y validación para evitar explotación. cve-2026-40322 expone una ejecución remota de código en Siyuan mediante vulnerabilidad almacenada en diagramas Mermaid. Esta falla crítica permite la ejecución arbitraria de código en entornos Electron al manipular contenido malicioso. La vulnerabilidad ha sido corregida en versiones recientes del software.