Top Vulnerabilidades Críticas 24-03-2026

cve-2020-5284 expone una vulnerabilidad crítica de traversal de ruta en Vercel Next.js que permite el acceso a archivos arbitrarios fuera del directorio esperado, con explotación confirmada y activa. Es vital considerar medidas adecuadas para mitigar este riesgo en entornos afectados. cve-2026-4440 es una vulnerabilidad crítica en Google Chromium que permite corrupción de memoria y ejecución remota de código a través de WebGL. Esta falla está siendo explotada activamente, representando un riesgo elevado para los usuarios del navegador. cve-2026-4441 afecta a Chromium permitiendo ejecución remota de código mediante vulnerabilidad Use after free. La explotación activa confirma su gravedad y riesgo inmediato para los usuarios. cve-2026-4443 afecta a Chromium con una vulnerabilidad crítica que permite la ejecución remota de código y denegación de servicio mediante un desbordamiento de heap en WebAudio. La explotación activa confirma su gravedad y requiere atención inmediata. cve-2026-4444 afecta a Chromium permitiendo ejecución remota de código debido a un desbordamiento de búfer en WebRTC. Esta vulnerabilidad está siendo explotada activamente y representa un riesgo crítico para la seguridad de los usuarios del navegador. cve-2026-4445 afecta a Google Chromium permitiendo la ejecución remota de código mediante una vulnerabilidad use after free en WebRTC. Esta falla se está explotando activamente, lo que representa un riesgo crítico para los usuarios del navegador. cve-2026-4446 afecta al navegador Chromium con una vulnerabilidad de ejecución remota de código en WebRTC basada en un uso tras liberación de memoria. Esta vulnerabilidad está siendo explotada activamente. cve-2026-4447 es una vulnerabilidad crítica en Google Chromium que permite la ejecución remota de código por un fallo en el motor JavaScript V8 y está siendo explotada activamente. cve-2026-4448 afecta a Chromium ANGLE causando ejecución remota de código mediante un desbordamiento de búfer. Esta vulnerabilidad es crítica y se explota activamente. cve-2026-4449 afecta a Chromium en una vulnerabilidad crítica de ejecución remota de código por use after free. Esta falla permite la explotación activa comprometiendo la seguridad del navegador. cve-2026-4450 afecta a Chromium con un fallo crítico en la gestión de memoria que permite ejecución remota de código. La amenaza es activa y representa un riesgo grave para usuarios de este navegador. cve-2026-4451 afecta a Google Chromium y permite ejecución remota de código debido a una validación insuficiente de entradas. Esta vulnerabilidad representa un grave riesgo de seguridad y está siendo explotada activamente. cve-2026-4452 es una vulnerabilidad crítica en Google Chromium que permite corrupción de memoria y ejecución remota de código debido a un integer overflow en ANGLE. Esta vulnerabilidad está siendo explotada activamente y afecta la seguridad de los navegadores basados en Chromium. cve-2026-4454 afecta a Google Chromium permitiendo la ejecución remota de código y denegación de servicio por un error de gestión en memoria. Esta vulnerabilidad crítica ya está siendo explotada activamente comprometendo la seguridad del navegador. cve-2026-4455 describe una vulnerabilidad crítica en Chromium. Afecta al procesamiento de documentos PDF y permite la ejecución remota de código. La explotación activa confirma su gravedad y riesgo inmediato. cve-2026-4456 afecta a Chromium con una vulnerabilidad crítica de uso después de liberación que permite ejecución remota de código. Está confirmada su explotación activa, lo que la convierte en una amenaza prioritaria para sistemas afectados. cve-2026-4457 afecta a Chromium V8 y permite la ejecución remota de código mediante confusión de tipos. Esta vulnerabilidad es crítica y está siendo explotada activamente, aumentando el riesgo para usuarios y sistemas. cve-2026-4458 afecta a Google Chromium y permite la ejecución remota de código debido a un uso de memoria tras liberación en extensiones. Esta vulnerabilidad está siendo explotada activamente, representando un riesgo crítico para los usuarios del navegador. cve-2026-4460 afecta a Chromium permitiendo corrupción de memoria y denegación de servicio debido a una lectura fuera de límites. Se ha confirmado explotación activa de esta vulnerabilidad crítica. cve-2026-4461 describe una grave vulnerabilidad en Google Chromium que permite la ejecución remota de código debido a fallos en su motor JavaScript V8. Esta vulnerabilidad está siendo explotada activamente, aumentando su gravedad y riesgo para los usuarios. cve-2026-4462 afecta al navegador Google Chromium con una vulnerabilidad crítica de lectura fuera de límites en Blink. Provoca corrupción de memoria y denegación de servicio. Esta vulnerabilidad está siendo explotada activamente, aumentando su riesgo. cve-2026-4463 describe un desbordamiento crítico de búfer en el navegador Chromium que permite la ejecución remota de código. La vulnerabilidad está confirmada en explotación activa, afectando directamente a la memoria durante comunicaciones WebRTC. cve-2026-4464 afecta a Google Chromium causando corrupción de memoria y ejecución remota de código mediante un desbordamiento entero. Esta vulnerabilidad es crítica y de explotación activa confirmada. cve-2020-9374 afecta a routers TP-Link TL-WR849N mediante inyección de comandos del sistema operativo. Esta vulnerabilidad permite la ejecución remota de código y su explotación está confirmada. cve-2014-6321 afecta a Microsoft Windows permitiendo la ejecución arbitraria de código mediante inyección. La explotación activa confirma su riesgo crítico para sistemas afectados. cve-2026-4599 afecta a jsrsasign y permite recuperación de claves privadas por comparación incompleta en generación de números aleatorios. La explotación activa puede sesgar nonces y comprometer firmas digitales. cve-2026-4600 afecta a la biblioteca jsrsasign y permite la falsificación de firmas DSA y certificados X.509 mediante la manipulación de parámetros del dominio. Esta falla supone un riesgo crítico para la integridad de las verificaciones criptográficas. cve-2026-4601 afecta a la librería jsrsasign en su implementación de firma DSA, permitiendo recuperar la clave privada mediante firmas inválidas. La vulnerabilidad se basa en un fallo criptográfico que omite pasos esenciales para mantener la seguridad de la clave privada. cve-2026-3587 permite a un atacante remoto sin autenticar obtener acceso root completo al dispositivo explotando una función oculta en la línea de comandos. Esta vulnerabilidad crítica compromete la integridad y control total del sistema afectado. cve-2026-32968 es una vulnerabilidad crítica que permite la ejecución remota de código y compromete sistemas completos a través de comandos mal sanitizados en plataformas de administración remota. cve-2025-41007 afecta a Cuantis con inyección SQL que permite control total sobre bases de datos. La vulnerabilidad es crítica y se confirma explotación activa. Se recomienda mitigar validando entradas y aplicando parches. cve-2025-41008 describe una vulnerabilidad crítica de inyección SQL en Sinturno que permite control total de bases de datos mediante un parámetro inseguro. Esta falla presenta riesgo alto por manipulación de datos y explotación activa confirmada. cve-2026-33351 afecta a la plataforma de vídeo WWBN AVideo y permite realizar solicitudes arbitrarias desde el servidor mediante una vulnerabilidad de falsificación de petición del lado servidor. Se ha confirmado la explotación activa y existe una versión parcheada que remedia el fallo. cve-2026-33352 afecta a WWBN AVideo permitiendo una inyección SQL no autenticada. Esta vulnerabilidad crítica compromete la integridad de la base de datos con explotación confirmada. cve-2026-33478 describe una vulnerabilidad crítica en WWBN AVideo que permite la ejecución remota de código sin autenticación. La falla expone claves secretas y posibilita el acceso completo al sistema mediante inyección de comandos. cve-2026-4404 expone credenciales codificadas en GoHarbor Harbor, permitiendo acceso no autorizado al sistema de gestión de registros de contenedores. La vulnerabilidad presenta una severidad crítica y explotación activa confirmada, lo que representa un riesgo grave para la seguridad del sistema. cve-2026-33502 expone a AVideo a ataques SSRF con accesos a servicios internos y metadatos en la nube. Esta vulnerabilidad crítica permite a atacantes remotos realizar peticiones HTTP arbitrarias sin autenticación, poniendo en riesgo la infraestructura interna. cve-2026-0898 describe una vulnerabilidad crítica en la extensión de navegador Pega Browser Extension que permite la escritura arbitraria de archivos y ejecución remota de código. Esta falla afecta a desarrolladores que emplean Robot Studio en modo de interrogación y ha sido confirmada su explotación activa. Es crucial la mitigación para evitar compromisos graves en entornos de automatización. cve-2026-33716 afecta a la plataforma WWBN AVideo permitiendo control no autenticado de emisiones en directo mediante redirección maliciosa de la verificación de tokens. Esta vulnerabilidad es crítica y explotada activamente, comprometendo la integridad y disponibilidad de las transmisiones. cve-2026-30849 afecta a MantisBT y permite la omisión de autenticación en su API SOAP, otorgando acceso sin contraseña. Esta vulnerabilidad crítica permite a un atacante ejecutar funciones API con cualquier cuenta conocida. La mitigación principal es desactivar la API SOAP, lo que limita parcialmente el riesgo. cve-2026-3055 afecta a dispositivos Citrix NetScaler ADC y Gateway con una grave vulnerabilidad de lectura de memoria causada por insuficiente validación en configuración SAML. La explotación activa permite acceder a datos sensibles, comprometiendo la seguridad de la red. cve-2025-60949 expone archivos de configuración en Census CSWeb, permitiendo la filtración de secretos sensibles a atacantes remotos no autenticados. cve-2026-33634 describe una grave vulnerabilidad en Trivy de Aqua Security que permite la ejecución remota de código y robo de credenciales debido a una cadena de suministro comprometida. La exposición afecta múltiples versiones de Trivy y sus integraciones en GitHub Actions, exigiendo acciones urgentes de mitigación y rotación de secretos. cve-2026-4681 afecta el software de gestión de ciclo de vida PTC Windchill y FlexPLM, permitiendo ejecución remota de código mediante deserialización insegura. Esta vulnerabilidad crítica tiene alta severidad y explotación confirmada. cve-2026-33211 afecta a Tekton Pipelines permitiendo acceso no autorizado a archivos sensibles mediante traversión de rutas. La vulnerabilidad es crítica y confirmada en entornos CI-CD basados en Kubernetes. cve-2026-33286 describe una vulnerabilidad crítica en Graphiti que permite la ejecución remota de métodos arbitrarios sin validación adecuada. Esta falla facilita que un atacante controle modelos y asociaciones, generando riesgos severos para la integridad de las aplicaciones web que exponen puntos de escritura. La mitigación principal es restringir el acceso y fortalecer la autenticación en las operaciones afectadas. cve-2026-4001 afecta un plugin de WordPress que permite la ejecución remota de código mediante fórmulas de precios personalizadas sin validación adecuada. Esta vulnerabilidad crítica facilita que un atacante ejecute código arbitrario en el servidor. cve-2026-4734 es una vulnerabilidad crítica en yoyofr modizer que permite corrupción de memoria y posible ejecución remota de código debido a una restricción inadecuada en operaciones sobre un buffer. Representa un riesgo grave para la seguridad por su impacto y explotación activa confirmada. cve-2026-4738 afecta a la biblioteca O SGeo gdal permitiendo ejecución remota de código mediante un desbordamiento de búfer. Esta vulnerabilidad crítica tiene una puntuación de severidad muy alta y su explotación ha sido confirmada activamente. cve-2026-4739 detecta una vulnerabilidad crítica en la biblioteca InsightSoftwareConsortium ITK con riesgo de ejecución remota de código y denegación de servicio. Se ha confirmado explotación activa de esta falla que proviene de un desbordamiento entero en módulos de análisis XML. cve-2026-4744 afecta a Notepad3 y permite ejecución remota o fallo debido a una gestión incorrecta de memoria en expresiones regulares. Es una vulnerabilidad crítica con exploit confirmado.