Top Vulnerabilidades Críticas 25-04-2026

cve-2026-32202 describe una vulnerabilidad crítica en Microsoft Windows que permite eludir mecanismos de seguridad esenciales. La explotación activa de esta falla pone en riesgo la integridad del sistema operativo y la seguridad del usuario. cve-2025-69985 describe una vulnerabilidad crítica en FrangoTeam Fuxa que permite bypass de autenticación mediante canales alternativos, poniendo en riesgo sistemas de control de acceso. La explotación activa de esta falla confirma su gravedad y la necesidad de mitigación inmediata. cve-2025-64375 presenta una grave falla de autorización que permite acceso no autorizado a datos sensibles en un producto aún bajo análisis, con explotación confirmada. Esta vulnerabilidad destaca por su severidad y explotación activa, representando un riesgo crítico. cve-2026-23541 expone un fallo crítico de autorización en un sistema de gestión de accesos, permitiendo acceso no autorizado a funciones y datos sensibles. Es una vulnerabilidad que ya está siendo explotada activamente, representando un riesgo grave para la seguridad del sistema. cve-2024-52490 expone una vulnerabilidad crítica en Kev, un sistema de gestión de archivos, permitiendo la carga no controlada de archivos peligrosos y la ejecución remota de código. La explotación activa confirma el riesgo elevado para los usuarios afectados. cve-2025-49867 afecta a RealHomes de InspiryThemes con asignación incorrecta de privilegios que permite escalada de privilegios y acceso no autorizado. La explotación activa ya está confirmada, por lo que es una amenaza crítica para los sistemas afectados. cve-2025-31918 describe una vulnerabilidad crítica de escalada de privilegios que está siendo explotada activamente. Afecta a un producto de seguridad especializado, permitiendo acceso no autorizado mediante asignación incorrecta de privilegios. cve-2025-67945 afecta a mailerlite permitiendo inyección SQL y ejecución de comandos arbitrarios. Esta vulnerabilidad presenta un riesgo crítico confirmado con explotación activa. Es vital proteger las bases de datos frente a estos ataques. cve-2026-1949 afecta a dispositivos de automatización industrial Delta Electronics AS320T. Esta vulnerabilidad permite la ejecución remota de código mediante un desbordamiento de búfer en la pila causado por un cálculo erróneo del tamaño del búfer en el servicio web. El riesgo es crítico, con un impacto severo en la seguridad del sistema. cve-2026-1950 describe una vulnerabilidad crítica de desbordamiento de búfer en Delta Electronics AS320T, un sistema de control de acceso. La falla permite a un atacante ejecutar código remotamente y comprometer la seguridad del dispositivo. Se recomienda la aplicación inmediata de actualizaciones o mitigaciones. cve-2026-1951 expone una vulnerabilidad crítica en el controlador AS320T de Delta Electronics que permite la ejecución remota de código por desbordamiento de búfer. Esta falla compromete gravemente la seguridad de sistemas industriales automatizados. cve-2026-1952 afecta a un sistema de control industrial con una vulnerabilidad de denegación de servicio. La explotación puede interrumpir su operación normal, causando fallos críticos. cve-2026-21515 expone una vulnerabilidad crítica en Microsoft Azure IOT Central que permite a un atacante autorizado elevar privilegios mediante la exposición de información sensible. La explotación activa confirma el alto riesgo asociado a esta falla. cve-2026-25660 afecta a Ericsson CodeChecker permitiendo una omisión de autenticación que permite la asignación arbitraria de permisos. Esta vulnerabilidad crítica compromete la seguridad del sistema al afectar la gestión de usuarios y permisos. cve-2026-39920 afecta a BridgeHead FileStore y permite ejecución remota de comandos mediante credenciales por defecto en su módulo de administración. La vulnerabilidad es crítica y está siendo activamente explotada. cve-2026-6911 expone una falla crítica en AWS Ops Wheel que permite acceso administrativo sin autenticación mediante tokens JWT manipulados. Esta vulnerabilidad pone en riesgo integral la gestión de datos y usuarios. cve-2026-41327 implica una vulnerabilidad crítica en Dgraph que permite el acceso completo a datos sin autenticar. El fallo se debe a una inyección de consultas DQL por falta de validación. Esta vulnerabilidad debe ser corregida con la actualización correspondiente. cve-2026-41328 permite a atacantes no autenticados obtener acceso completo a datos en Dgraph mediante inyección DQL. Esta vulnerabilidad crítica afecta la seguridad y confidencialidad de la base de datos distribuida. cve-2026-41492 revela una grave vulnerabilidad en Dgraph Alpha que permite recuperar tokens administrativos sin autenticación, facilitando accesos no autorizados a funciones críticas. cve-2026-41428 describe una vulnerabilidad crítica en Budibase que permite eludir la autenticación y acceder a recursos protegidos mediante manipulaciones en la URL. La vulnerabilidad surge por un uso inseguro de expresiones regulares en el middleware autenticado. cve-2026-41248 describe una vulnerabilidad crítica en Clerk Clerk JavaScript que permite omitir controles de acceso al usar funciones de enrutamiento. Esta falla puede ser explotada para saltar validaciones a nivel de middleware y ejecutar código no autorizado. cve-2026-41478 afecta a Saltcorn y permite inyección SQL crítica que lleva a exfiltración total y manipulación de bases de datos. Esta vulnerabilidad crítica compromete información sensible y permite ataques destructivos en el backend.