Top Vulnerabilidades Críticas 22-04-2026

cve-2025-29635 afecta a routers D-Link DIR 823X permitiendo inyección remota de comandos con ejecución de código. Esta vulnerabilidad crítica está siendo explotada activamente y compromete la seguridad de dispositivos domésticos. cve-2019-25714 permite la ejecución remota de código en KEV, un software de gestión de identidades. La vulnerabilidad es causada por validación incorrecta de entradas y está siendo explotada activamente. cve-2026-5965 expone una ejecución remota de comandos en NewSoft NewSoftOA, permitiendo ataques críticos sin autenticación previa. Esta vulnerabilidad puede comprometer completamente la seguridad del servidor afectado. cve-2026-6748 afecta a Mozilla Firefox y Thunderbird con una vulnerabilidad crítica que permite la ejecución remota de código debido a memoria no inicializada en Web Codecs. Es vital actualizar estas aplicaciones para mitigar riesgos severos. cve-2026-6768 afecta a Mozilla Firefox y Thunderbird con una vulnerabilidad crítica que permite eludir mitigaciones en la gestión de cookies. Esta falla puede ser explotada para comprometer la seguridad del usuario al manipular cookies. cve-2026-6771 afecta a Mozilla Firefox y Thunderbird permitiendo omitir mecanismos de seguridad en el DOM. Esta vulnerabilidad crítica puede comprometer la integridad del navegador y del cliente de correo electrónico. cve-2017-20230 afecta a Perl y permite ejecución remota mediante desbordamiento de pila causado por manejo erróneo de longitud de clase. La vulnerabilidad es crítica y ha sido explotada activamente, lo que la convierte en una amenaza prioritaria para sistemas que usan Perl. cve-2025-15638 afecta a Dropbear y permite la ejecución remota de código debido a una falla crítica en su biblioteca criptográfica. Esta vulnerabilidad puede comprometer completamente la seguridad del sistema donde se despliega Dropbear. cve-2025-41029 expone una vulnerabilidad crítica de inyección SQL en Zeon Academy Pro que permite la manipulación completa de la base de datos mediante un parámetro no validado. Esta falla compromete la seguridad y el control de la información almacenada en el sistema. cve-2026-21571 es una vulnerabilidad crítica de ejecución remota de código en Bamboo Data Center de Atlassian que permite a atacantes autenticados ejecutar comandos en el sistema. La falla afecta seriamente la confidencialidad, integridad y disponibilidad. cve-2026-40050 afecta a CrowdStrike LogScale permitiendo la lectura remota de archivos sin autenticación a través de un recorrido de ruta. La explotación es remota y no requiere permisos previos, lo que representa un riesgo grave para la seguridad de los servidores afectados. cve-2026-40569 afecta a FreeScout y permite a administradores modificar configuraciones de buzones para interceptar correos y redirigir envíos sin ser detectados. Esta vulnerabilidad crítica de alta gravedad impacta en la confidencialidad y seguridad del servicio de correo. cve-2026-40576 es una vulnerabilidad crítica que permite la ejecución remota de operaciones arbitrarias sobre archivos en excel-mcp-server. Afecta a la validación de rutas en un servidor dedicado a manipulación de Excel. El problema reside en la falta de autenticación y el mal manejo de rutas. cve-2026-5652 es una vulnerabilidad crítica en Crafty Controller que permite la modificación no autorizada de usuarios mediante una validación insuficiente en su API. Esta falla expone sistemas a ataques remotos de actores autenticados, comprometiendo la integridad de la gestión de usuarios. cve-2026-41193 afecta a FreeScout permitiendo la escritura arbitraria de archivos mediante archivos ZIP maliciosos. La explotación de esta vulnerabilidad puede comprometer la integridad del servidor y la seguridad del sistema. Se recomienda actualizar a la versión corregida para evitar riesgos. cve-2026-40372 afecta a Microsoft ASP.NET Core permitiendo elevación de privilegios por fallo en la verificación criptográfica. Esta vulnerabilidad crítica puede ser explotada para controlar aplicaciones web sin autorización. cve-2026-40872 expone una vulnerabilidad crítica de ejecución remota de código en mailcow dockerized. La falla permite ejecutar código malicioso al visualizar registros malformados en el panel de administración. Es fundamental mitigar esta vulnerabilidad para evitar el compromiso del sistema. cve-2026-40884 describe un bypass crítico en la autenticación SFTP de goshs. Permite acceso no autorizado a archivos sin contraseña. Esta vulnerabilidad es explotada activamente y representa un riesgo grave para la seguridad de los datos. cve-2026-40887 afecta a Vendure Shop API con una inyección SQL crítica que permite ejecución arbitraria en la base de datos. La vulnerabilidad está confirmada en explotación y cuenta con un parche que introduce validación y consultas parametrizadas para mitigar los ataques. cve-2026-40903 es una vulnerabilidad crítica que permite la exposición de tokens de GitHub a través de artefactos del flujo de trabajo en goshs. Esta falla afecta a servidores HTTP simples escritos en Go y puede llevar a un compromiso grave de credenciales. Se ha constatado explotación activa de esta vulnerabilidad. cve-2026-33518 afecta a Esri Portal for ArcGIS causando una grave vulnerabilidad en la asignación de privilegios que puede permitir escalada no autorizada. La explotación activa confirmada hace que esta vulnerabilidad sea crítica para la seguridad de sistemas geoespaciales. cve-2026-33519 afecta a Esri Portal for ArcGIS y permite accesos no autorizados debido a una falla en la verificación de permisos para credenciales de desarrollador. Esta vulnerabilidad crítica exige atención inmediata para evitar compromisos en entornos GIS robustos. cve-2026-34275 afecta a Oracle Advanced Inbound Telephony con una vulnerabilidad crítica que permite control remoto completo sin autenticación previa. Esta falla presenta impactos severos en la confidencialidad, integridad y disponibilidad del sistema, con explotación confirmada y alta facilidad de ataque. cve-2026-34279 describe una vulnerabilidad crítica en Oracle Enterprise Manager Base Platform que permite la ejecución remota con privilegios elevados y la toma de control completa del sistema. Esta falla afecta la confidencialidad, integridad y disponibilidad del servicio y representa un riesgo grave para los entornos afectados. cve-2026-34285 afecta a Oracle Identity Manager Connector y permite ataques remotos sin autenticación que comprometen datos y su integridad. La vulnerabilidad es crítica con un impacto alto en confidencialidad e integridad, y explotable fácilmente por red mediante HTTPS. cve-2026-34286 afecta a Oracle Identity Manager Connector, permitiendo a atacantes sin autenticar comprometer completamente datos críticos mediante acceso remoto. La vulnerabilidad presenta un impacto severo en la confidencialidad e integridad de la información, con explotación activa confirmada. cve-2026-34287 describe una vulnerabilidad crítica en Oracle Identity Manager Connector que permite a atacantes remotos sin autenticar comprometer datos sensibles. La falla afecta a la confidencialidad y la integridad, facilitando modificaciones y accesos no autorizados. Este defecto representa un riesgo alto para sistemas que usan este componente de Oracle. cve-2026-40906 afecta a ElectricSQL Electric y permite inyección SQL crítica a través del parámetro order_by. Esta vulnerabilidad permite a usuarios autenticados leer, modificar y eliminar toda la información de la base de datos con privilegios totales. cve-2026-40911 afecta a la plataforma WWBN AVideo, permitiendo la ejecución remota de código y la toma total de control de cuentas mediante la inyección de scripts maliciosos en conexiones WebSocket. Esta vulnerabilidad ha sido explotada activamente para robar sesiones y ejecutar acciones privilegiadas. cve-2026-40933 demuestra una ejecución remota crítica causada por una mala validación de comandos en Flowise. La vulnerabilidad permite a atacantes autenticados ejecutar código con permisos del sistema. Es fundamental actualizar a la versión que corrige este fallo para mitigar riesgos severos. cve-2026-40946 describe una vulnerabilidad crítica en Oxia que permite aceptar tokens no autorizados debido a la desactivación de la validación de audiencia en la autenticación OIDC. Esto compromete la seguridad del sistema permitiendo accesos indebidos. cve-2026-40575 afecta a OAuth2 Proxy y permite eludir la autenticación mediante manipulación de cabeceras en proxy inverso. Esta vulnerabilidad permite acceso no autorizado a rutas protegidas. Se confirma explotación activa y requiere ajuste en configuraciones de proxy para mitigarse. cve-2026-41064 afecta a WWBN AVideo y permite la ejecución remota de código debido a una validación insuficiente en la descarga de URLs. La vulnerabilidad es crítica y altamente explotable, comprometiendo la integridad del sistema.