Top Vulnerabilidades Críticas 18-04-2026

cve-2026-33825 afecta a Microsoft Defender permitiendo acceso no autorizado debido a un control de acceso insuficiente. Se confirma que esta vulnerabilidad está siendo explotada activamente, lo que la convierte en un riesgo crítico para la seguridad de los sistemas afectados. cve-2026-6297 afecta a Chromium y permite ejecución remota de código debido a un uso tras liberación en el componente Proxy, con explotación activa confirmada. cve-2026-6298 afecta a Chromium y permite la ejecución remota de código debido a un desbordamiento de búfer en el heap. La explotación activa de esta vulnerabilidad la convierte en un riesgo crítico para los usuarios de este navegador. cve-2026-6299 afecta a Chromium con una vulnerabilidad crítica de uso de memoria después de liberación que permite ejecución remota de código. Se confirma la explotación activa en entornos reales poniendo en riesgo la seguridad del navegador y la información de los usuarios. cve-2026-6300 afecta a Chromium y permite ejecución remota de código mediante una vulnerabilidad de use after free en CSS. El fallo se debe a un manejo erróneo de memoria que está siendo explotado activamente. cve-2026-6301 describe una vulnerabilidad crítica en Google Chromium que permite la ejecución remota de código a través de un error de confusión de tipos en su motor de JavaScript. Esta vulnerabilidad está siendo explotada activamente, representando un riesgo grave para los usuarios. cve-2026-6302 afecta a Google Chromium permitiendo la ejecución remota de código debido a un error en la gestión de memoria en el componente de vídeo. Es una vulnerabilidad crítica con explotación activa confirmada. cve-2026-6303 describe una vulnerabilidad crítica en Google Chromium que permite la ejecución remota de código debido a un uso después de liberar memoria en componentes de códecs. Su explotación activa la convierte en una amenaza seria para usuarios del navegador. cve-2026-6304 afecta a Google Chromium y permite la ejecución remota de código debido a un uso después de liberar memoria en Graphite. La explotación activa de esta vulnerabilidad eleva la gravedad del riesgo para los usuarios del navegador. cve-2026-6305 en Chromium permite ejecución remota de código mediante desbordamiento de búfer en PDFium. Es una vulnerabilidad crítica con explotación activa confirmada. cve-2026-6306 afecta a Chromium con un desbordamiento de búfer en PDFium que permite la ejecución remota de código. Esta vulnerabilidad está siendo explotada activamente, lo que la hace especialmente crítica. cve-2026-6307 afecta a Google Chromium permitiendo ejecución remota de código mediante confusión de tipos en Turbofan. La explotación activa de esta falla representa un alto riesgo para usuarios de este navegador. cve-2026-6308 afecta a Google Chromium y permite la ejecución remota de código debido a una lectura fuera de límites en el componente de medios. Esta vulnerabilidad está siendo explotada activamente y representa un riesgo crítico para los usuarios del navegador. cve-2026-6309 describe una vulnerabilidad crítica en Chromium Viz que permite la ejecución remota de código mediante un uso después de liberar memoria. Es una amenaza activa y representa un riesgo elevado para sistemas afectados. cve-2026-6310 describe una vulnerabilidad crítica en Google Chromium que permite la ejecución remota de código debido a un error use after free. Esta falla está siendo explotada activamente, representando un riesgo urgente para usuarios de este navegador. cve-2026-6311 afecta a Chromium con una vulnerabilidad crítica de ejecución remota de código mediante uso no inicializado en funciones de accesibilidad. Su explotación activa representa un riesgo inmediato para usuarios de este navegador por lo que requerir actualizar. cve-2026-6312 afecta a Google Chromium y permite la ejecución remota de código debido a una insuficiente aplicación de políticas de seguridad en las contraseñas. Esta vulnerabilidad tiene explotación confirmada y alto impacto. cve-2026-6313 afecta a Microsoft Chromium permitiendo violaciones en la política de mismo origen por fallo en CORS con explotación activa confirmada. cve-2026-6314 afecta a Chromium con una escritura fuera de límites que permite ejecución remota de código y corrupción de memoria mediante la GPU. Es una vulnerabilidad explotada activamente que compromete la seguridad del navegador y del sistema operativo. cve-2026-6316 afecta a Chromium y permite la ejecución remota de código debido a un error de uso después de liberación en formularios. Esta vulnerabilidad está siendo explotada activamente, representando un riesgo crítico para los usuarios. cve-2026-6317 afecta a Chromium con una explotación activa de uso después de liberación en Cast que permite ejecución remota de código. Es una vulnerabilidad crítica que compromete la seguridad del navegador y sus usuarios. cve-2026-6318 afecta a Chromium y permite la ejecución remota de código mediante un fallo de use after free en codecs. Esta vulnerabilidad está en explotación activa, lo que eleva su criticidad y urgencia de mitigación. cve-2026-6359 afecta a Google Chromium y permite ejecución remota de código por corrupción de memoria en vídeo. Se confirma explotación activa. Es una vulnerabilidad crítica que debe ser gestionada urgentemente. cve-2026-6360 afecta a Chromium y permite ejecución remota de código debido a un error de uso después de liberación en FileSystem. Es crítica y se está explotando activamente. cve-2026-6361 describe una vulnerabilidad crítica en el navegador Chromium que permite la ejecución remota de código debido a un desbordamiento de búfer en PDFium. La explotación activa de esta falla la convierte en un riesgo urgente para los usuarios. cve-2026-6362 es una vulnerabilidad crítica en Chromium que permite la ejecución remota de código mediante un uso después de liberación en codecs. Esta falla está siendo explotada activamente, lo que la convierte en una amenaza urgente para los usuarios de este navegador. cve-2026-6363 afecta a Google Chromium y permite la ejecución remota de código mediante confusión de tipo en el motor V8. Esta vulnerabilidad se encuentra en explotación activa, lo que la hace especialmente crítica. cve-2026-6364 afecta a Chromium con lectura fuera de límites en Skia. Esta vulnerabilidad crítica permite la exposición de memoria y vulnerabilidades de seguridad. Hay explotación activa confirmada, lo que aumenta el riesgo de ataque. cve-2026-6443 expone un grave riesgo en el plugin Accordion and Accordion Slider para WordPress, permitiendo control remoto y spam persistente mediante un backdoor inyectado maliciosamente. cve-2025-15623 expone contraseñas de base de datos en texto plano sin autenticación, comprometiendo la confidencialidad del sistema Sparx Pro Cloud Server. Esta vulnerabilidad crítica permite acceso no autorizado a información sensible. cve-2025-15624 afecta a Sparx Pro Cloud Server con almacenamiento inseguro de contraseñas en texto plano. Esta falla crítica puede llevar al compromiso total de credenciales de usuario y accesos no autorizados. Se trata de un problema grave que requiere atención inmediata. cve-2025-15625 afecta a Sparx Systems Sparx Pro Cloud Server permitiendo la ejecución remota de comandos SQL sin autenticación previa. Esta vulnerabilidad crítica compromete la integridad y confidencialidad de los datos almacenados. La explotación activa de esta falla destaca su peligro y la necesidad de mitigación inmediata. cve-2026-37749 describe una vulnerabilidad crítica de inyección SQL en un sistema de gestión de asistencia. Permite a atacantes remotos eludir la autenticación sin necesitar credenciales. La gravedad es alta y la explotación es activa. cve-2026-6284 afecta a controladores lógicos programables permitiendo acceso no autorizado mediante fuerza bruta debido a la baja complejidad de contraseñas y falta de limitadores. La vulnerabilidad es crítica y la explotación está confirmada. cve-2026-40525 permite a atacantes evadir la autenticación en OpenViking de Volcengine, controlando bots sin clave API. Esta vulnerabilidad crítica expone datos y funciones sensibles a ataques remotos sin restricción. cve-2026-32105 afecta a neutrinolabs xrdp permitiendo la modificación no detectada del tráfico cifrado en RDP. La vulnerabilidad supone un riesgo crítico en la integridad de las conexiones que no usan TLS. Se recomienda actualizar o habilitar la capa de seguridad TLS para proteger las comunicaciones. cve-2026-35546 afecta a dispositivos Anviz y permite ejecución remota de código con acceso total al sistema. Esta vulnerabilidad crítica destaca la necesidad urgente de actualización y mitigación. cve 2026 40342 afecta a Firebird permitiendo ejecución remota de código mediante carga no segura de plugins. Esta vulnerabilidad crítica permite a usuarios autenticados ejecutar código con privilegios elevados. cve-2026-23500 describe una grave vulnerabilidad en Dolibarr que permite la ejecución remota de código a través de la inyección de comandos en la conversión de archivos ODT a PDF. Esta falla afecta a una funcionalidad clave y requiere atención inmediata por su alta severidad. cve-2026-40258 describe una vulnerabilidad crítica en Gramps Web API que permite la escritura arbitraria de archivos a través de una explotación de path traversal en la importación de archivos ZIP. La falta de validación en nombres de ruta facilita este ataque con privilegios elevados. cve-2026-40351 permite la inyección NoSQL en FastGPT, facilitando acceso no autorizado como administrador. Esta vulnerabilidad es crítica y afecta la autenticación del sistema. cve-2026-40477 describe un bypass crítico en el motor de plantillas Thymeleaf que permite inyección remota de código. Esta falla permite a atacantes no autenticados ejecutar plantillas con acceso indebido a objetos internos. cve-2026-40478 describe una vulnerabilidad crítica en Thymeleaf que permite la ejecución remota de código mediante inyección en plantillas del lado servidor. Esta falla permite a un atacante eludir las protecciones del motor ante expresiones maliciosas sin necesidad de autenticación. cve-2026-40324 afecta a Hot Chocolate de Chilli Cream con una vulnerabilidad crítica que causa una denegación de servicio por desbordamiento de pila. La explotación activa provoca la parada inmediata del servidor y la pérdida de todas las conexiones. Se recomienda la actualización urgente a versiones parcheadas. cve-2026-40484 afecta a ChurchCRM permitiendo la ejecución remota de código a través de archivos maliciosos en backups restaurados y explotación por falsificación de peticiones en sitios cruzados. Esta vulnerabilidad crítica pone en riesgo el control del servidor. cve-2026-40582 afecta a ChurchCRM con una grave omisión de autenticación que permite acceso no autorizado a las claves API y a funcionalidades protegidas. Esta vulnerabilidad expone datos y recursos críticos ante usuarios no legítimos. cve-2026-40317 afecta a NovumOS permitiendo escalado de privilegios por ejecución arbitraria en kernel. Esta vulnerabilidad crítica permite a usuarios locales ejecutar código con privilegios de kernel. Se recomienda actualizar a la versión corregida o aplicar restricciones al modo de operación del sistema. cve-2026-40572 describe una falla crítica en NovumOS que permite la escalada de privilegios mediante la manipulación de la memoria del núcleo. Esta vulnerabilidad afecta directamente la integridad del sistema operativo y la seguridad del kernel. cve-2026-40492 provoca corrupción de memoria en la biblioteca SAIL al manejar formatos de píxel incorrectos, facilitando la ejecución de código arbitrario. Esta vulnerabilidad es crítica y afecta a la seguridad de aplicaciones que procesan imágenes con esta biblioteca. cve-2026-40493 afecta a la biblioteca SAIL de HappySeaFox y permite un desbordamiento de buffer crítico en memoria. Esto puede derivar en ejecución remota de código por corrupción de memoria en formato LAB. cve-2026-40494 afecta a la biblioteca SAIL y permite un desbordamiento de búfer crítico en el decodificador del códec TGA. Esta vulnerabilidad compromete la integridad de la memoria y puede ser explotada para ejecutar código malicioso.