Top Vulnerabilidades Críticas 20-03-2026

cve-2026-3657 describe una inyección SQL crítica en Kev Console, que permite manipular bases de datos sin autorización. Esta vulnerabilidad es explotada activamente, lo que la convierte en una amenaza prioritaria para la seguridad. cve-2025-32975 afecta a un sistema de autenticación permitiendo eludir mecanismos de seguridad y obtener acceso no autorizado. Es una vulnerabilidad crítica con explotación activa que compromete la seguridad de la autorización. cve-2026-23658 describe una vulnerabilidad de elevación de privilegios en Microsoft Azure DevOps que está siendo explotada activamente, permitiendo a usuarios obtener permisos administrativos. Esta falla representa un riesgo crítico para la seguridad de los entornos de desarrollo y gestión de proyectos. cve-2026-23659 afecta a Microsoft Azure Data Factory y permite la divulgación de información sensible debido a una exposición no autorizada. Esta vulnerabilidad tiene explotación activa confirmada y riesgo crítico para la privacidad de los datos. cve-2026-24299 destaca como una vulnerabilidad crítica que afecta a Microsoft M365 Copilot permitiendo la divulgación no autorizada de datos confidenciales. La explotación activa confirma la gravedad y urgencia de su atención inmediata para proteger información sensible. cve-2026-26120 afecta a Microsoft Bing, donde una vulnerabilidad permite la manipulación del motor de búsqueda comprometiendo su integridad. La explotación activa confirma su riesgo crítico para usuarios y sistemas. cve-2026-26136 expone una vulnerabilidad crítica en Microsoft Copilot que permite la divulgación de información sensible. Su explotación activa compromete la confidencialidad de datos en entornos afectados. cve-2026-26137 afecta a Microsoft 365 Copilot BizChat y permite elevación de privilegios debido a un fallo en el control de acceso. Esta vulnerabilidad está siendo explotada activamente, lo que la convierte en crítica y un riesgo directo para la seguridad de usuarios y datos. cve-2026-26138 expone una elevación de privilegios en Microsoft Purview que permite ataques activos y acceso no autorizado. Esta vulnerabilidad es crítica y compromete la gestión segura de datos. cve-2026-26139 afecta a Microsoft Purview y permite la elevación de privilegios por una incorrecta gestión de permisos, con explotación activa confirmada. Esta vulnerabilidad representa un riesgo crítico para la seguridad de la plataforma y los datos gestionados. cve-2026-32169 es una escalada de privilegios activa en Microsoft Azure Cloud Shell que permite control avanzado del entorno. Esta vulnerabilidad crítica afecta al entorno de línea de comandos en la nube, elevando riesgos para usuarios y administradores. cve-2026-32191 es una vulnerabilidad crítica que permite la ejecución remota de código en Microsoft Bing Images. Esta falla pone en riesgo la integridad y seguridad del sistema debido a la explotación activa confirmada. cve-2026-33017 expone a Langflow a ejecución remota de código debido a validación insuficiente que permite control total del sistema. Esta vulnerabilidad se encuentra en explotación activa, lo que aumenta su criticidad y riesgo inmediato. cve-2026-27413 es una vulnerabilidad crítica de inyección SQL ciega en Profile Builder Pro de Cozmoslabs que permite la exposición y manipulación de datos sensibles mediante comandos SQL especialmente diseñados. Esta falla de seguridad tiene explotación activa confirmada y una severidad muy alta. cve-2025-60233 afecta al tema Themeton Zuut en WordPress permitiendo ejecución remota de código mediante inyección de objetos. Esta vulnerabilidad es crítica y requiere atención inmediata para mitigar riesgos de compromiso del sistema. cve-2025-60237 presenta una vulnerabilidad crítica de inyección de objetos en el tema Finag de WordPress que permite la ejecución remota de código. Es una falla severa que compromete la seguridad del sistema al procesar datos deserializados sin validación adecuada. cve-2026-27065 afecta a un plugin de WordPress con una vulnerabilidad crítica que permite la ejecución remota de código mediante inclusión local de archivos. Esta falla se debe al manejo incorrecto del nombre del archivo en sentencias include o require en PHP, con explotación ya confirmada. cve-2026-27067 afecta a Syarif Mobile App Editor permitiendo la carga remota de archivos maliciosos y la ejecución de código en el servidor. Supone un riesgo crítico por la posibilidad de comprometer el entorno web donde está instalado. cve-2006-10003 afecta a Perl XML Parser con un desbordamiento de búfer que permite ejecución remota de código y denegación de servicio. Esta vulnerabilidad es crítica por su alta severidad y su impacto en sistemas que procesan XML con estructuras muy profundas. cve-2026-22557 afecta a Ubiquiti UniFi Network Application con una vulnerabilidad crítica de recorrido de ruta que permite acceso no autorizado a archivos sensibles y manipulación de cuentas. cve-2026-30402 expone una vulnerabilidad crítica en wgcloud que facilita la ejecución remota de código. Esta falla afecta gravemente la seguridad al permitir a atacantes controlar completamente el sistema. cve-2026-32865 describe una vulnerabilidad crítica en OPEXUS eComplaint and eCASE que permite restablecer contraseñas sin verificar preguntas de seguridad, exponiendo el sistema a compromisos graves de cuenta. Esta falla se debe a la inclusión del código secreto en respuestas HTTP durante procesos de restablecimiento. cve-2026-32238 es una vulnerabilidad crítica en OpenEMR que permite la ejecución remota de comandos mediante su función de respaldo. Esta vulnerabilidad compromete la seguridad del sistema al no validar correctamente las entradas en una función sensible. cve-2026-30836 afecta a Step CA y permite emisión no autenticada de certificados, poniendo en riesgo la seguridad de sistemas DevOps. Su explotación activa confirma la criticidad de esta falla en la gestión certificadora automatizada. cve-2026-30924 afecta a la interfaz web qui con una política CORS permisiva que permite ataques de suplantación de identidad y compromiso total del sistema si el usuario accede desde un host no local y visita páginas maliciosas. Es una vulnerabilidad crítica que facilita la explotación remota mediante ingeniería social. cve-2026-4428 afecta a la biblioteca criptográfica AWS-LC permitiendo que certificados revocados pasen desapercibidos debido a un error lógico en la validación de listas de revocación. Esto representa un riesgo crítico para la integridad de las conexiones y sistemas que dependen de esta verificación. cve-2026-30871 describe un fallo de desbordamiento de pila en OpenWrt que permite ejecución remota de código a través de consultas DNS maliciosas. Esta vulnerabilidad crítica afecta la estabilidad y seguridad de dispositivos embebidos que utilizan este sistema operativo. cve-2026-30872 es una vulnerabilidad crítica en OpenWrt que permite la ejecución remota de código mediante desbordamiento de búfer en consultas DNS multicast IPv6. Esta falla de seguridad afecta a sistemas embebidos y ha sido corregida en versiones recientes del software. cve-2026-32038 afecta a la plataforma de orquestación OpenClaw y permite saltarse el aislamiento de red entre contenedores, poniendo en riesgo servicios internos. Esta vulnerabilidad es crítica y tiene explotación activa confirmada, lo que la sitúa como una amenaza importante para infraestructuras basadas en contenedores. cve-2026-32194 afecta a Microsoft Bing Images con una inyección de comandos que permite la ejecución remota de código. Esta vulnerabilidad es crítica y está siendo explotada activamente, representando un riesgo elevado para los usuarios. cve-2026-32754 es una vulnerabilidad crítica de Cross-Site Scripting almacenado en FreeScout que permite la ejecución remota de código HTML y JavaScript mediante notificaciones de correo electrónico. Este fallo puede ser aprovechado por atacantes no autenticados para secuestrar sesiones y realizar ataques de phishing a todos los destinatarios afectados. cve-2026-22732 afecta a VMware Spring Security provocando que las cabeceras HTTP no se escriban correctamente en aplicaciones servlet, comprometiendo la integridad de las respuestas HTTP. Es una vulnerabilidad crítica con un alto impacto en la seguridad web de las aplicaciones afectadas. cve-2026-29103 afecta a SuiteCRM y permite ejecución remota de código al evadir controles de seguridad en el escaneo de funciones. La vulnerabilidad es crítica y activa, imposibilitando la protección mediante análisis de token PHP en versiones afectadas. cve-2026-32760 permite que un usuario no autenticado se registre como administrador en File Browser debido a la configuración inadecuada de permisos por defecto. Esto concede control completo sobre archivos, usuarios y configuraciones del servidor. cve-2026-32985 afecta a Xerte Online Toolkits permitiendo ejecución remota de código por carga arbitraria sin autenticación. La vulnerabilidad permite a atacantes subir archivos PHP maliciosos y ejecutarlos en el servidor. cve-2026-32767 expone una vulnerabilidad crítica en SiYuan que permite a usuarios autenticados ejecutar sentencias SQL arbitrarias saltándose controles de autorización, comprometiendo la seguridad de la base de datos. cve-2026-32817 afecta a Admidio y permite a atacantes eliminar documentos sin autorización adecuada, incluso sin autenticación, debido a la falta de validación de permisos y protección contra ataques CSRF. Esta vulnerabilidad crítica pone en riesgo la integridad de toda la biblioteca de documentos. cve-2026-21992 describe una vulnerabilidad crítica en Oracle Identity Manager y Oracle Web Services Manager que posibilita el control completo sin necesidad de autenticación, con impactos severos en la seguridad de los sistemas afectados. cve-2026-32890 afecta a Anchorr permitiendo ejecución remota de código en el navegador administrador y robo de credenciales a través de un XSS almacenado. La explotación es activa y crítica, comprometiendo la seguridad completa del sistema. cve-2026-32891 afecta a un bot de Discord utilizado para la gestión de solicitudes y permite la ejecución remota de código con privilegios de administrador. La vulnerabilidad expone claves API y tokens que comprometen servicios integrados y servidores relacionados. La explotación ha sido confirmada y compromete la seguridad completa del sistema afectado. cve-2026-32938 afecta a SiYuan y permite la exfiltración de archivos sensibles por una vulnerabilidad crítica en la gestión de archivos locales. cve-2026-32940 afecta a SiYuan con una vulnerabilidad crítica que permite ejecución remota de código por inyección en SVG. La explotación activa se confirma mediante navegación directa a un endpoint vulnerable que procesa entradas sin las debidas restricciones. cve-2026-4038 es una vulnerabilidad crítica en el plugin Aimogen Pro para WordPress que permite a atacantes escalar privilegios y controlar un sitio completo. Permite ejecutar funciones arbitrarias sin validación, comprometiendo la seguridad del sitio.