Top Vulnerabilidades Críticas 21-04-2026

cve-2026-5231 afecta al plugin WP Statistics de Veronalabs, permitiendo ataques de cross-site scripting que comprometen la seguridad del navegador. La explotación activa de esta vulnerabilidad confirma su gravedad y urgencia de mitigación. cve-2025-2749 afecta a Kentico Xperience y permite acceso no autorizado a archivos mediante un recorrido de ruta. Esta vulnerabilidad representa un grave riesgo de exposición de información sensible debido a su explotación activa. cve-2026-20133 describe una vulnerabilidad crítica en Cisco Catalyst SD-WAN Manager que permite la exposición de información sensible a actores no autorizados, con explotación confirmada. Este fallo compromete la confidencialidad de datos estratégicos en redes definidas por software. cve-2025-48700 afecta a Synacor Zimbra Collaboration Suite con una vulnerabilidad de Cross-site Scripting que permite ejecución remota de scripts. Esta vulnerabilidad está siendo explotada activamente, representando un riesgo crítico para usuarios. cve-2023-22621 afecta a Strapi y permite ataques de inyección con explotación confirmada. Esta vulnerabilidad crítica permite ejecución remota de código, poniendo en riesgo la seguridad de las aplicaciones que usan este CMS. cve-2026-32956 afecta dispositivos de gestión y conectividad de Silex Technology permitiendo ejecución remota de código mediante desbordamiento de búfer. La vulnerabilidad es crítica con explotación activa confirmada. cve-2026-6644 describe una vulnerabilidad crítica en Asustor ADM que permite ejecución remota de código mediante inyección de comandos en clientes PPTP VPN. Esta falla puede ser explotada para tomar control total del dispositivo NAS afectado. cve-2026-5963 detalla una inyección SQL crítica en Digiwin EasyFlow .NET que compromete datos con ejecución remota de comandos SQL arbitrarios. Esta falla permite ataques sin autenticación para manipular bases de datos con daños graves. cve-2026-5964 afecta a Digiwin EasyFlow .NET con una grave vulnerabilidad de inyección SQL que permite control total sobre la base de datos. La explotación remota sin necesidad de autenticación la convierte en una falla crítica que compromete integridad y confidencialidad del sistema. cve-2026-33557 describe una grave vulnerabilidad en Apache Kafka donde cualquier token JWT es aceptado sin validación, facilitando la suplantación de identidad y acceso no autorizado. Esta falla crítica permite explotación activa y requiere ajustes de configuración en versiones afectadas para evitar riesgos. cve-2026-5760 permite ejecución remota de código en SGLang reranking endpoint debido a plantillas Jinja2 no protegidas. Esta falla tiene un impacto crítico y compromete la integridad del sistema. cve-2026-24467 destaca una vulnerabilidad crítica en OpenAEV que permite la toma de cuenta total sin necesidad de autenticación previa. Esta falla se debe a tokens de restablecimiento de contraseña que no caducan y son fácilmente vulnerables a ataques de fuerza bruta. La actualización a la versión corregida es imprescindible para protegerse. cve-2026-39918 afecta a Vvveb y permite ejecución remota de código PHP sin autenticación. Esta vulnerabilidad crítica se debe a una inyección por falta de escape en un parámetro de entrada. Representa un riesgo severo para la seguridad de servidores web que utilizan esta librería. cve-2026-30269 describe una vulnerabilidad crítica en Doorman que permite la escalada de privilegios por control de acceso incorrecto. Esta falla permite a usuarios autenticados modificar roles sin la debida autorización. cve-2026-39109 presenta una crítica vulnerabilidad de inyección SQL en Apartment Visitors Management System que permite a atacantes sin autenticar obtener información sensible accediendo a la base de datos mediante manipulación del parámetro usuario en la página de acceso. Este fallo tiene un alto nivel de severidad y explotación confirmada. cve-2026-32311 afecta a Flowsint permitiendo ejecución remota de código con privilegios máximos mediante escape de contenedor y comandos shell manipulados. Supone un riesgo crítico para sistemas que usan esta herramienta en investigaciones y análisis OSINT. cve-2026-6257 presenta una ejecución remota de código crítica en Vvveb CMS v1.0.8. Permite a atacantes autenticados ejecutar comandos en el sistema mediante manipulación de archivos en la gestión de medios. cve-2026-32604 afecta a la plataforma spinnaker y permite la ejecución remota de comandos en pods críticos. Esta vulnerabilidad crítica permite el acceso a credenciales y manipulación de archivos. La solución implica actualizar a versiones parcheadas o desactivar ciertos artefactos temporales. cve-2026-32613 destaca por permitir ejecución remota de código en Spinnaker Echo. Esta falla grave expone sistemas a control total a través del lenguaje Spring Expression. La solución incluye la desactivación del componente afectado y la aplicación de parches disponibles. cve-2026-41329 afecta a OpenClaw y permite la escalada de privilegios mediante la manipulación del contexto y un parámetro específico. Supone un bypass crítico de las restricciones del sandbox y es de alta severidad.