Top Vulnerabilidades Críticas 19-02-2026

cve-2026-2314 afecta a Chromium y permite corrupción de memoria y ejecución remota de código. La vulnerabilidad es crítica y de explotación activa confirmada. cve-2026-2316 afecta a Google Chromium con una grave falla en la aplicación de políticas de seguridad que compromete la integridad del navegador. Esta vulnerabilidad está siendo explotada activamente, resaltando su alta criticidad y la necesidad de atención inmediata. cve-2026-2319 afecta a Chromium con una grave condición de carrera en DevTools que pone en riesgo la seguridad y estabilidad del navegador. Esta vulnerabilidad está siendo explotada activamente y requiere atención inmediata. cve-2026-2322 expone a Microsoft Chromium a un desbordamiento de búfer que permite la ejecución remota de código y la corrupción de memoria. Esta vulnerabilidad tiene explotación activa confirmada, elevando su gravedad y necesidad de mitigación inmediata. cve-2021-22175 afecta a GitLab Server permitiendo solicitudes HTTP arbitrarias internas, con explotación confirmada. Es una vulnerabilidad crítica de tipo Server-Side Request Forgery que compromete la seguridad del servidor. cve-2026-1603 afecta a Ivanti Endpoint Manager permitiendo omisión de autenticación mediante rutas alternas, lo que facilita acciones no autorizadas. Esta vulnerabilidad crítica está siendo explotada activamente, presentando un riesgo elevado para sistemas gestionados con este software. cve-2026-1937 presenta una grave escalada de privilegios en el plugin YayMail para WooCommerce. Un atacante con acceso limitado puede obtener control administrativo completo en el sitio comprometido. Esta vulnerabilidad crítica requiere atención inmediata para evitar accesos no autorizados. cve-2026-1435 permite el acceso no autorizado a Graylog al reutilizar tokens de sesión antiguos por una mala gestión de la invalidación. Esto compromete la integridad de las cuentas afectadas a través del interfaz web y la API. cve-2026-2329 afecta a teléfonos IP de Grandstream con un fallo de desbordamiento de búfer que permite ejecución remota con privilegios de root. Esta vulnerabilidad es crítica y explotada activamente, poniendo en riesgo la integridad de los dispositivos. cve-2025-15579 destaca por permitir la ejecución remota de código y escalada de privilegios en OpenText Directory Services. Esta vulnerabilidad crítica de deserialización de datos no confiables presenta un riesgo alto de explotación activa y provoca denegación de servicio. cve-2025-65791 afecta a software de vigilancia por vídeo permitiendo ejecución remota de código mediante inyección de comandos por entrada no sanitizada. Esta vulnerabilidad presenta riesgo crítico en entornos expuestos a usuarios no confiables. cve-2025-70998 afecta a routers UTT HiPER 810 con credenciales predeterminadas inseguras que permiten acceso remoto y control root. Esta vulnerabilidad crítica tiene explotación activa confirmada, facilitando la intrusión completa en el dispositivo. cve-2025-70141 afecta a sistemas de soporte al cliente permitiendo control administrativo sin autenticación. Esta falla crítica de control de acceso permite modificar datos sensibles y eliminar usuarios, comprometiendo totalmente la integridad del sistema. cve-2025-70146 expone una falla crítica en ProjectWorlds Online Time Table Generator que posibilita el control remoto sin autenticación, comprometiendo la integridad del sistema y sus datos. cve-2025-70149 afecta a CodeAstro Membership Management System con una vulnerabilidad crítica de inyección SQL que permite la ejecución remota de código y acceso no autorizado a datos. Está confirmada la explotación activa de esta vulnerabilidad. cve-2025-14009 describe una falla crítica en nltk que permite la ejecución remota de código mediante paquetes maliciosos en la descarga y extracción de archivos. Esta vulnerabilidad impacta gravemente la seguridad de sistemas que usan esta biblioteca para procesamiento de lenguaje natural. cve-2025-70150 afecta a CodeAstro Membership Management System y permite la eliminación no autorizada de registros debido a la falta de autenticación. Esta vulnerabilidad crítica representa un riesgo alto para la integridad de la base de datos de miembros. cve-2025-70152 afecta a un sistema de gestión de usuarios permitiendo inyección SQL por falta de validación en las solicitudes. Esto da lugar a un control completo sobre la base de datos y la ejecución de código malicioso. La explotación activa de esta vulnerabilidad la convierte en crítica para la seguridad. cve-2026-23491 afecta a InvoicePlane permitiendo a atacantes no autenticados leer archivos sensibles en el servidor por una vulnerabilidad de recorrido de ruta. Esta explotación puede revelar configuraciones críticas y credenciales de bases de datos comprometiendo la seguridad del sistema. cve-2019-25362 describe una grave vulnerabilidad en un conversor de vídeo de Alloksoft que permite ejecución remota de código. Esta falla se debe a un desbordamiento de búfer en el manejo de campos de licencia, con explotación activa confirmada y un alto nivel de severidad. cve-2019-25364 describe un desbordamiento de búfer crítico en MailCarrier que permite la ejecución remota de código. Su explotación activa pone en riesgo sistemas completos que usan este servidor de correo. cve-2026-27174 describe una vulnerabilidad crítica en MajorDoMo que permite la ejecución remota de código sin autenticación. Esta falla pone en riesgo la seguridad al permitir control completo del sistema a través del panel de administración. cve-2026-27175 afecta a MajorDoMo permitiendo la ejecución remota de comandos sin autenticación debido a una inyección en la gestión de cola de comandos. Es una vulnerabilidad crítica con explotación activa confirmada y alto impacto en la seguridad del sistema. cve-2026-27180 afecta al sistema MajorDoMo permitiendo la ejecución remota de código sin autenticación mediante la manipulación de actualizaciones. La vulnerabilidad permite a un atacante desplegar archivos maliciosos en el servidor con solo dos peticiones GET. cve-2026-25548 expone una grave ejecución remota de código en InvoicePlane que afecta a administradores con acceso. Permite ejecución arbitraria de comandos mediante un ataque de inclusión local de archivos y envenenamiento de logs.