Top Vulnerabilidades Críticas 20-02-2026

cve-2026-21535 afecta Microsoft Teams permitiendo la divulgación de información confidencial debido a problemas de gestión de permisos. Esta vulnerabilidad se encuentra actualmente en explotación activa, lo que eleva su nivel de riesgo a crítico. cve-2025-12882 describe una vulnerabilidad crítica en un plugin de WordPress que permite la escalada de privilegios mediante registro malicioso. Esta falla expone sistemas a la toma de control administrativo sin restricción. cve-2025-13563 permite la escalada de privilegios en el plugin Lizza LMS Pro para WordPress, otorgando a usuarios no autenticados acceso administrativo al sistema. Esta vulnerabilidad crítica tiene un impacto muy alto debido a la falta de validar los roles al registrar nuevos usuarios. cve-2025-13851 afecta a un plugin de WordPress que permite la escalada de privilegios debido a la falta de validación en el rol de usuario durante el registro. Esto posibilita el control completo del sitio mediante un ataque a la API REST. cve-2025-15586 es una grave vulnerabilidad en OpenGamePanel OGP-Website que permite la omisión de autenticación sin necesidad de contraseña. Este fallo crítico puede comprometer la seguridad de las cuentas de usuarios en la plataforma. cve-2026-0926 afecta a Prodigy Commerce para WordPress incluyendo ejecución remota de código y lectura arbitraria de archivos. Es una vulnerabilidad crítica con explotación activa confirmada que permite eludir controles de seguridad. cve-2026-1405 permite la ejecución remota de código en el plugin Slider Future para WordPress mediante la subida arbitraria de archivos sin validación. cve-2026-1994 afecta a s2Member y permite la escalada de privilegios mediante toma de cuenta, comprometiendo controles administrativos críticos. cve-2026-2731 permite la ejecución remota de código en DynamicWeb, afectando versiones 8 y 9. La vulnerabilidad aprovecha un recorrido de ruta e inyección de contenido en solicitudes web sin autenticación, lo que compromete la integridad del servidor. cve-2026-23542 afecta a un tema de WordPress permitiendo la ejecución remota de código mediante inyección de objetos. Esta vulnerabilidad es crítica y puede comprometer la seguridad del servidor al ejecutar código arbitrario. cve-2026-23549 afecta a un plugin de WordPress permitiendo la ejecución remota de código mediante inyección de objetos. Esta vulnerabilidad crítica surge por la deserialización insegura de datos no confiables en el plugin WpEvently. cve-2025-12107 afecta a un gestor de APIs de WSO2 y permite la ejecución remota de código mediante inyección en plantillas. Esta vulnerabilidad es crítica y puede comprometer la integridad y confidencialidad del servidor. cve-2025-13590 describe una vulnerabilidad crítica en W S O 2 que permite la ejecución remota de código a través de la carga arbitraria de archivos mediante su API REST. Este fallo supone un riesgo severo al poder controlar completamente el sistema afectado. cve-2025-8350 afecta a BiEticaret CMS con un bypass de autenticación y división de respuesta HTTP que permite control de sesiones y manipulación de respuestas. cve-2025-9953 expone una vulnerabilidad crítica de inyección SQL que permite omisión de autorización y acceso no autorizado en un sistema de acreditación de bases de datos. La explotación permite la ejecución remota de comandos y compromete la integridad y confidencialidad del sistema. cve-2025-71243 afecta al plugin Saisies de SPIP con una ejecución remota de código crítica y confirmada. Esta vulnerabilidad permite a atacantes ejecutar código arbitrario en el servidor, representando un riesgo elevado. La actualización inmediata a la versión segura es esencial para mitigar el riesgo. cve-2026-24834 afecta a Kata Containers permitiendo ejecución remota de código con privilegios de root dentro de la máquina virtual huésped mediante modificación del sistema de archivos. Esta vulnerabilidad tiene un impacto crítico y permite control completo del entorno afectado. cve-2026-26016 expone un fallo grave en el sistema Pterodactyl Wings que permite a atacantes con un token de nodo comprometido acceder y manipular datos de servidores ajenos. Este problema crítico afecta la autorización y permite la destrucción de datos y la exfiltración de información confidencial. La actualización a la versión parcheada es imprescindible para evitar estos riesgos. cve-2026-26030 afecta a Microsoft Semantic Kernel y permite la ejecución remota de código mediante el filtro InMemoryVectorStore. Esta vulnerabilidad es crítica y requiere actualización inmediata para evitar explotación. cve-2026-26339 afecta a Hyland Alfresco Transformation Service permitiendo ejecución remota de código mediante inyección de argumentos. Esta vulnerabilidad es de gravedad crítica y permite ataques sin autenticación previa. cve-2026-2409 afecta a Delinea Cloud Suite con una vulnerabilidad crítica de inyección SQL que permite la ejecución remota de comandos y acceso no autorizado a bases de datos. Esta falla pone en riesgo la seguridad de ambientes cloud y la integridad de la información. Se recomienda aplicar actualizaciones para mitigar el riesgo. cve-2026-27475 afecta a SPIP mediante una deserialización insegura que permite la ejecución remota de código. La vulnerabilidad resulta crítica y se ha confirmado explotación activa para esta falla. cve-2026-27476 describe una vulnerabilidad crítica de inyección de comandos en RustFly 2.0.0. Permite ejecución remota de código mediante instrucciones hexadecimales no sanitizadas. cve-2025-30410 contiene una vulnerabilidad crítica en Acronis Cyber Protect Cloud Agent que permite la divulgación y manipulación de datos sensibles sin necesidad de autenticación, poniendo en riesgo la seguridad de la información protegida por este software. cve-2025-30411 afecta a Acronis Cyber Protect causando divulgación y manipulación de datos sensibles por fallos de autenticación. Esta vulnerabilidad crítica permite un impacto directo en la confidencialidad y la integridad de los datos protegidos. cve-2025-30412 afecta a Acronis Cyber Protect, permitiendo la divulgación y manipulación de datos sensibles por fallos en la autenticación. Esta vulnerabilidad crítica compromete tanto la confidencialidad como la integridad de la información protegida. cve-2025-30416 afecta a Acronis Cyber Protect y permite la divulgación y manipulación de datos sin autorización, poniendo en riesgo la confidencialidad y la integridad de la información. Es una vulnerabilidad crítica con explotación activa confirmada. cve-2026-26064 afecta a calibre permitiendo escritura arbitraria en archivos y ejecución remota de código en Windows. Esta vulnerabilidad crítica se debe a un control insuficiente de rutas en funciones de extracción de archivos. cve-2026-26065 expone a calibre a riesgos críticos de ejecución remota de código y denegación de servicio debido a escritura arbitraria de archivos. Esta vulnerabilidad es especialmente grave por su capacidad para sobrescribir archivos sin restricción y ya se ha confirmado su explotación activa. cve-2026-26980 expone una falla crítica en Ghost que permite accesos no autorizados a la base de datos. La vulnerabilidad compromete la confidencialidad al permitir lecturas arbitrarias sin autenticación. Es imprescindible actualizar a la versión corregida para mitigar este riesgo. cve-2026-26988 es una vulnerabilidad crítica en LibreNMS que permite la inyección SQL a través de la manipulación de direcciones IPv6. Esto puede conducir a accesos no autorizados y manipulación de datos en la base de datos. Es esencial aplicar la actualización que corrige esta falla.