Top Vulnerabilidades Críticas 24-04-2026

cve-2026-41228 describe una vulnerabilidad crítica en Froxlor que permite ejecución remota de código mediante manipulación de parámetros. Esta falla afecta directamente la seguridad del servidor, posibilitando control total del sistema vulnerado. cve-2026-41229 afecta a Froxlor y permite la ejecución remota de código mediante inyección en parámetros sin validar. Esta vulnerabilidad crítica tiene explotación activa confirmada y está corregida en la versión 2.3.6. cve-2026-6885 es una vulnerabilidad crítica en Borg SPM 2007 que permite la carga arbitraria de archivos y ejecución remota de código sin autenticación. Esta falla representa un riesgo grave para la seguridad de los servidores afectados por completo control con código malicioso. cve-2026-6886 permite eludir la autenticación en Borg SPM 2007, otorgando acceso remoto sin restricciones a usuarios no autorizados. cve-2026-6887 es una vulnerabilidad crítica de inyección SQL en Borg SPM 2007 que permite a atacantes remotos no autenticados manipular datos en la base de datos. cve-2026-39440 expone una ejecución remota de código en FunnelFormsPro de WordPress, permitiendo control total al atacante. Es una vulnerabilidad crítica con impacto severo en la seguridad de los servidores afectados. cve-2026-41460 describe una vulnerabilidad crítica en SocialEngine que permite la ejecución remota de código y el control del administrador a través de una inyección SQL sin autenticación. Esta falla representa un riesgo alto para la integridad y seguridad de los datos en plataformas vulnerables. cve-2025-62373 describe una vulnerabilidad crítica en Pipecat que permite ejecución remota de código mediante deserialización insegura en LivekitFrameSerializer. La actualización a la última versión de Pipecat y evitar el uso de la clase vulnerable son medidas esenciales para prevenir exploits. cve-2026-23751 afecta a Kofax Tungsten Capture permitiendo ejecución remota de código y robo de credenciales sin autenticación previa. Esta vulnerabilidad crítica aprovecha un canal de comunicación inseguro para ejecutar código y modificar archivos en el sistema afectado. cve-2026-39087 afecta a Ntfy ntfy.sh permitiendo ejecución remota de código a través de la función parseActions. La vulnerabilidad es crítica con un alto impacto en la seguridad del sistema. cve-2026-40470 expone una vulnerabilidad crítica de cross-site scripting en hackage.haskell.org, que permite el secuestro de sesión y la manipulación de paquetes por usuarios maliciosos. Esta falla afecta directamente la integridad y seguridad en la gestión de paquetes de Haskell. cve-2026-40471 describe una vulnerabilidad crítica en Hackage Server que permite ataques Cross-Site Request Forgery sin protección adecuada. Esto permite a atacantes ejecutar acciones administrativas sin autorización, incluyendo la subida de paquetes y la creación de cuentas. cve-2026-40472 afecta a Hackage-Server con una vulnerabilidad crítica de tipo Cross-Site Scripting que permite la ejecución remota de código malicioso a través de metadatos sin sanitizar. Este fallo representa un riesgo grave para la integridad y seguridad del entorno cliente. cve-2026-31175 afecta a un router doméstico de ToToLink permitiendo ejecución remota de comandos mediante inyección. Esta vulnerabilidad tiene una severidad crítica e impacto directo en el control total del dispositivo. cve-2026-31177 afecta al router ToToLink A3300R permitiendo ejecución remota de comandos vía interfaz web. Esta vulnerabilidad crítica puede permitir control total del dispositivo y se encuentra en explotación activa. cve-2026-31178 afecta a routers ToToLink A3300R permitiendo ejecución remota de comandos mediante inyección en el parámetro stunMaxAlive. Esta vulnerabilidad crítica puede otorgar control total del dispositivo a un atacante, poniendo en riesgo la red asociada. cve-2026-31181 afecta a routers domésticos ToToLink permitiendo ejecución remota de comandos por inyección en parámetros web. Esta vulnerabilidad crítica permite a un atacante tomar control del dispositivo afectado de forma remota. cve-2026-6920 afecta a Google Chrome con una vulnerabilidad crítica de lectura fuera de límites en GPU que permite una evasión del sandbox. Esta brecha de seguridad en el manejo del proceso de renderizado representa un riesgo elevado para usuarios de Android. cve-2026-6074 describe una vulnerabilidad crítica en Intrado 911 Emergency Gateway que permite acceso no autorizado a la interfaz de gestión mediante traversal de ruta, con riesgo alto de manipulación de archivos. cve-2026-25874 implica ejecución remota de código en LeRobot debido a deserialización insegura por canales no autenticados. Esta vulnerabilidad crítica puede ser explotada remotamente sin autenticación, afectando servidores y clientes del sistema. cve-2026-41137 afecta a Flowise por inyección de comandos que permite ejecución remota. Es una vulnerabilidad crítica con explotación confirmada. cve-2026-41264 expone una ejecución remota de código en Flowise. Esta vulnerabilidad grave permite a atacantes sin autenticar controlar el servidor mediante scripts maliciosos generados por el modelo de lenguaje. cve-2026-41265 describe una grave vulnerabilidad de ejecución remota de código en Flowise que permite a atacantes no autenticados controlar el servidor. Esta falla crítica expone el sistema a comandos arbitrarios generados por scripts maliciosos. cve-2026-6942 presenta una vulnerabilidad crítica en radare2-mcp que permite la ejecución remota de código mediante inyección de comandos. Es una falla grave que afecta a usuarios que exponen interfaces jsonrpc sin protección adecuada. cve-2026-24303 describe una grave vulnerabilidad en Microsoft Partner Center que permite a usuarios autorizados elevar sus privilegios en la red. Esta falla en el control de acceso compromete la seguridad del sistema, con explotación activa confirmada. cve-2026-26210 describe una vulnerabilidad crítica en KTransformers que permite ejecución remota de código mediante una deserialización insegura, poniendo en riesgo la integridad del sistema y la seguridad del servidor. Esta vulnerabilidad afecta a un componente clave del framework y ha sido confirmada su explotación activa. cve-2026-32210 afecta a Microsoft Dynamics 365 Online y permite una suplantación de identidad en red mediante solicitudes falsificadas. La vulnerabilidad es crítica y tiene explotación activa confirmada. Requiere acción inmediata para mitigar riesgos de seguridad. cve-2026-33102 es una vulnerabilidad crítica en Microsoft M365 Copilot que permite la redirección a sitios no confiables y la elevación de privilegios sin autorización. Este fallo afecta la seguridad en redes empresariales y cuenta con explotación activa confirmada. cve-2026-33819 afecta a Microsoft Bing permitiendo la ejecución remota de código mediante deserialización insegura. Es una vulnerabilidad crítica con explotación activa confirmada que compromete la seguridad del sistema. cve-2026-35431 expone Microsoft Entra ID Entitlement Management a ataques de suplantación mediante una vulnerabilidad de server-side request forgery que permite la ejecución remota de solicitudes con privilegios indebidos. cve-2026-41274 afecta a Flowise permitiendo la inyección activa de comandos Cypher y poniendo en riesgo la integridad y confidencialidad de la base de datos Neo4j. Esta falla crítica facilita la manipulación remota y el exfiltrado de datos sin control. cve-2026-25775 afecta a SenseLive X3050 permitiendo la ejecución remota no autorizada y manipulación del firmware sin autenticación. Esta falla crítica pone en riesgo la integridad y el funcionamiento del dispositivo. cve-2026-27843 describe una vulnerabilidad crítica en el gateway industrial SenseLive X3050 que permite denegación de servicio mediante bloqueo persistente. El problema radica en la falta de autenticación en la actualización de parámetros críticos de recuperación y red. cve-2026-35503 expone una falla crítica en la autenticación del interfaz web de Senselive X tres mil cincuenta. Permite el acceso no autorizado a funciones administrativas mediante la obtención de parámetros de autenticación client-side. cve-2026-39462 expone una grave vulnerabilidad en el dispositivo SenseLive X3050, donde los cambios de contraseña no se aplican correctamente, lo que permite el acceso no autorizado tras un reinicio de fábrica. Esta falla crítica afecta la integridad y seguridad del sistema de gestión web. cve-2026-40620 permite acceso administrativo completo sin autenticación en SenseLive X3050. Esta vulnerabilidad crítica expone la modificación no autorizada de parámetros y estados operativos. cve-2026-40630 expone fallos graves en la gestión de acceso de SenseLive X3050, permitiendo la autenticación eludida y acceso no autorizado. Esta vulnerabilidad representa un riesgo crítico en sistemas industriales debido a la manipulación directa de la configuración.