Top Vulnerabilidades Críticas 25-02-2026

cve-2026-20931 afecta a Microsoft Windows permitiendo control externo de nombres o rutas de archivo, lo que puede derivar en ejecución no autorizada de código y acceso a archivos críticos. La explotación activa confirma la gravedad de esta vulnerabilidad. cve-2026-20029 afecta a Cisco Identity Services Engine y permite ataques de ejecución remota de código y divulgación de información mediante vulnerabilidades en el procesamiento de XML. Se confirma explotación activa de esta vulnerabilidad crítica. cve-2025-14155 describe una vulnerabilidad crítica de autorización ausente en premium addons for elementor de leap13. Esta falla permite acceso no autorizado y está siendo explotada activamente, poniendo en riesgo la seguridad de sitios web. cve-2025-40539 afecta a Solarwinds Serv U por una vulnerabilidad crítica que permite ejecución de código privilegiado. Esta falla de confusión de tipos permite a atacantes con acceso administrativo tomar control total del sistema. cve-2025-40540 afecta a SolarWinds Serv-U permitiendo la ejecución remota de código con privilegios administrativos debido a una vulnerabilidad de confusión de tipos. La explotación requiere privilegios administrativos, siendo crítica en escenarios donde el servicio corre con cuentas privilegiadas. cve-2025-40541 describe una vulnerabilidad crítica en Serv U de SolarWinds que permite ejecución remota de código con privilegios elevados mediante referencia directa insegura. Esta falla puede comprometer gravemente la seguridad de sistemas que utilicen este servidor FTP. cve-2025-11165 permite a usuarios autenticados saltarse restricciones en el motor de scripting de dotCMS. Permite ejecución remota de comandos con permisos del proceso de la aplicación, comprometiendo gravemente la seguridad del servidor. cve-2025-14577 expone dispositivos de comunicaciones Slican a inyección de funciones PHP y ejecución remota de código sin autenticación. Esta vulnerabilidad crítica permite ataques remotos confirmados y requiere actualización urgente a las versiones corregidas. cve-2026-27208 describe una falla crítica en bleon-ethical api gateway deploy que permite a atacantes ejecutar comandos con privilegios de root y escapar de contenedores. Esta vulnerabilidad destaca por su severidad y riesgo de control total del sistema afectado. cve-2026-27584 afecta a ActualBudget permite acceso no autorizado a datos financieros sensibles. Esta vulnerabilidad crítica se debe a la falta de autenticación en el servidor. cve-2026-27507 expone una vulnerabilidad crítica en switches gestionados de Binardat, permitiendo acceso administrativo total mediante credenciales codificadas sin posibilidad de cambio. cve-2026-27515 describe una vulnerabilidad crítica en switches de red que permite el secuestro de sesiones mediante la predicción de identificadores de sesión. Esta falla afecta directamente la seguridad de la administración web del dispositivo, facilitando el acceso no autorizado. cve-2026-26222 expone una vulnerabilidad crítica en Beyond Limits Inc. Altec DocLink que permite ejecución remota de código sin autenticación. La falla afecta la deserialización insegura y acceso arbitrario a archivos en el sistema. cve-2026-26341 afecta a firmware de dispositivos Tattile con credenciales por defecto sin cambio obligatorio, permitiendo acceso administrativo no autorizado y control total. Es una vulnerabilidad crítica con explotación activa comprobada. cve-2026-21410 afecta a InSAT MasterSCADA BUK-TS y permite ejecución remota de código mediante inyección SQL. Esta vulnerabilidad es crítica con una severidad que supera el nueve en la escala CVSS. cve-2026-22553 afecta a InSAT MasterSCADA BUK TS con una vulnerabilidad crítica de inyección de comandos que permite la ejecución remota de código. La explotación activa está confirmada, poniendo en riesgo sistemas industriales SCADA. cve-2026-27593 expone una vulnerabilidad crítica en Statamic CMS que permite la toma de control de cuentas por restablecimiento no autorizado de contraseñas. El fallo se encuentra en la función de recuperación y permite a un atacante capturar el token necesario para el cambio de clave. cve-2026-24849 afecta a OpenEMR permitiendo a usuarios autenticados leer archivos arbitrarios del sistema. Esta vulnerabilidad es crítica y compromete datos sensibles, con explotación confirmada. El problema se resuelve en la versión 7.0.4. cve-2026-27595 en Parse Dashboard permite a atacantes remotos leer y modificar datos sin autenticación. La vulnerabilidad se debe a fallos en la autorización del endpoint del agente que controla acceso con clave maestra. Actualizar y modificar la configuración es fundamental para mitigar el riesgo. cve-2026-27608 afecta a Parse Dashboard y permite acceso y modificaciones no autorizadas por fallos en la autorización del endpoint AI Agent API. Esta vulnerabilidad crítica expone datos y permite operaciones maliciosas en aplicaciones gestionadas. cve-2026-27614 afecta a Bugsink con una grave vulnerabilidad que permite la ejecución remota de código JavaScript en el navegador de administradores. La explotación requiere la capacidad de enviar eventos maliciosos y que un administrador los visualice. Esta falla crítica compromete la seguridad administrativa y la integridad del sistema. cve-2026-27626 detalla una falla crítica en OliveTin que permite la ejecución remota de código sin necesidad de autenticación. Esta vulnerabilidad afecta a la ejecución segura de comandos en la interfaz web y la validación de entradas en webhooks, exponiendo a los sistemas a ataques remotos muy peligrosos. cve-2026-27822 es una vulnerabilidad crítica de ejecución de código JavaScript arbitrario en RustFS Console, que permite robo de credenciales y control total del sistema. Se trata de un caso claro de vulnerabilidad de Cross-Site Scripting almacenado con explotación activa confirmada. cve-2026-27597 afecta a agentfront enclave permitiendo ejecución remota de código mediante escape de seguridad sandbox. La vulnerabilidad tiene un impacto crítico y está siendo explotada activamente, requiriendo actualización inmediata para mitigar riesgos. cve-2026-27637 expone un grave fallo de autenticación en FreeScout que permite la toma de control total de cuentas sin contraseña mediante un token predecible y clave expuesta. Esta vulnerabilidad destaca por su severidad crítica. cve-2026-27641 afecta Flask-Reuploaded en cargas de archivos permitiendo ejecución remota por recorrido de rutas y evasión de extensión. Esta vulnerabilidad crítica puede permitir a atacantes tomar control remoto del servidor. cve-2026-27743 afecta a un plugin de SPIP y permite la ejecución remota de consultas SQL sin autenticación, debido a la falta de validación y autorización en parámetros de entrada. Esta vulnerabilidad es crítica y pone en riesgo la integridad y confidencialidad de la base de datos. cve-2026-27744 describe una grave vulnerabilidad de ejecución remota de código en el plugin Tickets de SPIP. Permite a atacantes no autenticados ejecutar código en el servidor mediante inyección de contenido sin filtrar.