Top Vulnerabilidades Críticas 21-05-2026

cve-2026-45444 afecta a W P Swings Gift Cards For WooCommerce Pro permitiendo ejecución de código remota con explotación activa confirmada. Esta vulnerabilidad crítica permite el compromiso completo de sistemas que usan este plugin. cve-2025-53072 afecta a Oracle Marketing Product permitiendo acceso no autorizado a funciones críticas por falta de autenticación. La explotación activa de esta vulnerabilidad representa un riesgo grave para la seguridad de sistemas de marketing empresarial. cve-2025-62481 afecta a Oracle Marketing y permite acceso no autorizado por ausencia de autenticación en funciones críticas. Está siendo explotada activamente, lo que la convierte en una vulnerabilidad de máxima prioridad para la seguridad. cve-2017-7692 afecta a SquirrelMail con una vulnerabilidad crítica de validación de entrada. Permite explotación activa que podría comprometer sistemas. Se debe abordar urgentemente para evitar ataques. cve-2024-12802 afecta a SonicWall SonicOS, permitiendo un bypass total de autenticación por vulnerabilidad crítica explotada activamente. cve-2026-45498 corresponde a una vulnerabilidad con explotación activa confirmada que afecta a un producto sin identificar. Representa un riesgo crítico debido a su impacto en la integridad y disponibilidad del sistema. Se recomienda la máxima atención ante esta amenaza. cve-2026-41091 destaca por su explotación activa y riesgo crítico de ejecución remota de código sin autenticación, aunque el fabricante y producto específico no están identificados. cve-2026-24207 afecta a NVIDIA Triton Inference Server y permite omitir la autenticación. Esto puede conducir a ejecución remota de código y elevación de privilegios. También permite manipulación de datos y denegación de servicio. Se confirma explotación activa de esta vulnerabilidad. cve-2026-7637 afecta al plugin Boost de PixelYourSite en WordPress, permitiendo inyección remota de código mediante manipulación de cookies si existen cadenas POP en plugins o temas adicionales. Esta vulnerabilidad crítica alcanza una severidad de 9.8 y se ha confirmado su explotación activa, poniendo en riesgo la integridad y confidencialidad del sistema afectado. cve-2026-9059 afecta a NextGEN Gallery con una inyección SQL autenticada que permite la ejecución arbitraria de comandos en la base de datos, exponiendo riesgos críticos para la gestión de galerías en WordPress. cve-2026-9065 afecta a SureCart permitiendo inyección SQL autenticada en la API REST. Esta falla crítica permite a un atacante extraer datos completos de la base. El riesgo es alto por la severidad y la facilidad de explotación confirmada. cve-2026-33278 afecta a NLnet Labs Unbound permitiendo la ejecución remota de código y la denegación de servicio. Esta vulnerabilidad crítica se debe a errores en la gestión de punteros durante la validación DNSSEC con cargas maliciosas. La explotación activa convierte esta falla en una amenaza significativa para la seguridad de sistemas que utilizan este software. cve-2026-22314 afecta componentes críticos de Mesalvo Meona, permitiendo la ejecución remota de código debido a una falla en el control de generación de código. Esta vulnerabilidad, con gravedad crítica, puede comprometer la seguridad de los sistemas afectados. cve-2026-8467 afecta a phoenix_storybook permitiendo ejecución remota de código por inyección en plantillas HEEx. La vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario en el servidor. cve-2026-8598 afecta a cámaras CCTV de ZKTeco mediante un puerto de configuración accesible sin autenticación, exponiendo credenciales y servicios. Esta vulnerabilidad es crítica con alta severidad y explotación confirmada. cve-2026-20223 afecta a la solución Cisco Secure Workload permitiendo acceso no autorizado a privilegios de administrador de sitio mediante APIs REST. Esta vulnerabilidad es crítica y permite lectura de datos sensibles y modificación de configuraciones entre inquilinos. cve-2026-23734 describe una vulnerabilidad crítica que permite la lectura no autorizada de archivos internos en XWiki Platform mediante un ataque de Path Traversal. Esta falla puede poner en riesgo la seguridad de la configuración del sistema y la integridad de los datos. cve-2026-33137 afecta a XWiki Platform y permite la ejecución remota sin autenticación, comprometiendo la integridad de los documentos. Esta vulnerabilidad crítica es explotable a través de la API de importación XAR sin controles adecuados. cve-2026-39405 afecta a Frappe Learning Management System permitiendo subida maliciosa de archivos fuera de directorio. Esta vulnerabilidad crítica pone en riesgo la integridad del sistema y fue corregida desde la versión 2.50.1. cve-2026-9102 es una crítica vulnerabilidad en Altium Enterprise Server que permite la ejecución remota de código mediante una explotación de salto de directorio en la carga de archivos. cve-2026-9129 describe una vulnerabilidad crítica de salto de ruta en Altium Enterprise Server que expone datos sensibles y permite el control total del servidor. Esta falla afecta exclusivamente despliegues locales con almacenamiento en filesystem, afectando la seguridad de configuraciones y claves secretas del sistema. cve-2026-9139 expone credenciales estáticas en un dispositivo de gestión de alertas SMS, permitiendo acceso administrativo sin autenticación. Esto representa una grave amenaza para la seguridad de sistemas protegidos por este equipo. cve-2026-9141 afecta a gateways de alertas SMS permitiendo acceso administrativo sin autenticación. Se trata de una vulnerabilidad crítica de bypass de autenticación que permite modificar configuraciones críticas y controlar funciones de monitoreo. cve-2026-8631 afecta a HP Linux Imaging and Printing Software presentando una vulnerabilidad crítica de desbordamiento entero que permite ejecución arbitraria de código y escalada de privilegios. La falla se encuentra en el procesamiento de datos de impresión manipulados, haciendo esta amenaza altamente peligrosa. cve-2026-48172 expone un fallo crítico en LiteSpeed User-End cPanel Plugin que permite a atacantes obtener acceso con privilegios elevados y control del sistema. La explotación activa es confirmada y se recomienda vigilar registros para detectar actividad anómala. La prevención incluye bloqueo de IPs no autorizadas identificadas tras el análisis de logs. cve-2026-9152 afecta al servicio de búsqueda de Altium 365, permitiendo acceso no autorizado a datos indexados y manipulación del índice. Esta falla crítica permite leer y modificar información sensible sin autenticación.