Top Vulnerabilidades Críticas 27-03-2026

cve-2026-4809 describe una vulnerabilidad crítica en plank laravel mediable que permite la carga y ejecución remota de archivos maliciosos explotando una falla en la validación del tipo MIME. Esta vulnerabilidad es especialmente peligrosa en entornos web donde los archivos subidos pueden ser ejecutados directamente. cve-2026-33396 afecta a OneUptime permitiendo ejecución remota de código mediante una lista de denegación incompleta en secuencias de comandos. Esta vulnerabilidad es crítica con explotación activa confirmada. cve-2026-33494 afecta a ORY Oathkeeper permitiendo una omisión de autorización crítica mediante el recorrido de rutas HTTP mal normalizadas. Este fallo expone rutas sensibles a accesos no autorizados. cve-2026-33152 permite ataques de fuerza bruta sin limitación en Tandoor Recipes. Esta vulnerabilidad afecta la autenticación en la API, facilitando el acceso no autorizado. Es crítica por su alto impacto en la seguridad de cuentas de usuario. cve-2026-33640 afecta a un servicio de documentación colaborativa permitiendo ataques de fuerza bruta para toma de cuentas. Esta vulnerabilidad es crítica y se confirma explotación activa, comprometiendo la seguridad del login con códigos OTP. cve-2026-33669 es una vulnerabilidad crítica en Siyuan SiYuan que permite acceso no autorizado a documentos mediante APIs expuestas. La explotación activa está confirmada, lo que compromete la privacidad de los datos. La actualización a la versión segura es esencial para proteger la información. cve-2026-33670 afecta a SiYuan y permite la exposición de información confidencial debido a fallos en la gestión de acceso a documentos. La vulnerabilidad es crítica y su explotación resulta en la filtración de datos internos sin autorización. cve-2026-33897 expone a Incus a una vulnerabilidad crítica que permite la lectura y escritura arbitraria de archivos con privilegios de root. Este fallo deriva de un error en el mecanismo de aislamiento de plantillas pongo2, poniendo en riesgo la integridad del sistema anfitrión. cve-2026-33945 afecta a LXC Incus permitiendo escalada de privilegios y denegación de servicio mediante escritura arbitraria en archivos protegidos. Es una vulnerabilidad crítica que compromete la integridad y disponibilidad del sistema. cve-2026-33701 afecta a OpenTelemetry Java Instrumentation e implica ejecución remota de código por deserialización insegura en Java 16 o versiones previas. La vulnerabilidad requiere configuración específica y acceso de red. Se recomienda actualización o desactivación de integración RMI para mitigar riesgos. cve-2026-33728 permite ejecución remota de código en dd-trace-java de Datadog debido a deserialización insegura en entornos Java antiguos. La vulnerabilidad se explota con acceso a puertos JMX o RMI y bibliotecas compatibles en el classpath. La mitigación clave es actualizar a versiones parcheadas o desactivar la integración vulnerable.