Top Vulnerabilidades Críticas 24-02-2026

cve-2026-1581 afecta a un plugin de foro para WordPress, permitiendo ejecución remota de código mediante inyección SQL activa. Esta vulnerabilidad crítica requiere atención inmediata para evitar compromisos de sistemas. cve-2023-6895 describe una explotación activa en sistemas de videoportero de Hikvision por inyección de comandos en sistema operativo. Esta vulnerabilidad permite la ejecución remota de código y representa un alto riesgo para la seguridad. cve-2025-14528 describe una vulnerabilidad crítica en routers D-Link DIR 803 que permite la exposición de información sensible a actores no autorizados. La explotación activa de esta falla pone en riesgo la privacidad y seguridad de la red. cve-2024-6250 afecta a una interfaz web para modelos de lenguaje, permitiendo acceso no autorizado a archivos sensibles mediante un recorrido absoluto de ruta. La explotación activa de esta falla ofrece riesgos críticos para la confidencialidad de información. La gravedad de esta vulnerabilidad requiere atención inmediata para mitigar accesos indebidos. cve-2026-23744 afecta a Google Cloud Console permitiendo acceso no autorizado a funciones críticas debido a la ausencia de autenticación. Esta vulnerabilidad es altamente peligrosa y está siendo explotada activamente. cve-2026-23552 afecta a Apache Camel Keycloak con una vulnerabilidad crítica que permite la bypass de tokens entre dominios. El problema radica en la falta de validación del emisario de tokens JWT, comprometiendo la seguridad multiinquilino. La actualización a la versión corregida es esencial para proteger las aplicaciones impactadas. cve-2025-41002 afecta de forma crítica a Infoticketing por inyección SQL que permite manipulación total de la base de datos. La explotación está confirmada y es altamente peligrosa. cve-2025-70043 expone a Ayms node-To master a ataques de intermediarios al no validar correctamente certificados TLS. Esta vulnerabilidad crítica permite interceptar y modificar datos protegidos por cifrado. cve-2026-23693 expone un plugin de WordPress a vulnerabilidades graves que permiten llamadas no autorizadas a la API de Mailchimp y consumo indebido de recursos. La falta de autenticación y validación adecuada posibilita que atacantes actúen como proxy abierto con impactos críticos. cve-2025-13942 implica una inyección de comandos remota en dispositivos Zyxel EX3510-B0, permitiendo el control total del sistema a través de solicitudes UPnP manipuladas. Esta falla crítica destaca por su severidad y confirmación de explotación. cve-2026-26198 expone una vulnerabilidad crítica de inyección SQL en Ormar ORM, permitiendo la lectura completa de bases de datos mediante parámetros no validados en funciones agregadas.