Top Vulnerabilidades Críticas 28-03-2026

cve-2026-32187 afecta a Microsoft Edge con una vulnerabilidad crítica de defensa en profundidad que está siendo explotada activamente. Esta falla compromete la seguridad del sistema, poniendo en riesgo la integridad del navegador y del equipo. cve-2026-4442 afecta a Chromium con un desbordamiento de búfer en el manejo de CSS que permite ejecución remota de código y está siendo explotado activamente. cve-2026-4453 afecta a Google Chromium y permite ejecución remota de código debido a un desbordamiento entero. Esta vulnerabilidad está siendo explotada activamente y requiere atención inmediata. cve-2026-4459 afecta a Google Chromium permitiendo la ejecución remota de código debido a una lectura y escritura fuera de límites en WebAudio con explotación activa confirmada. cve-2026-4673 afecta a Chromium con un desbordamiento de búfer. Esta vulnerabilidad permite la ejecución remota de código y está siendo explotada activamente. cve-2026-4674 describe una vulnerabilidad crítica en Google Chromium que permite la lectura fuera de límites y la filtración de información. Se ha confirmado su explotación activa, lo que la convierte en una amenaza inmediata para los usuarios de este navegador. cve-2026-4675 describe una vulnerabilidad crítica de ejecución remota de código en Chromium debido a un desbordamiento de memoria en WebGL. La explotación activa de este fallo la convierte en una amenaza urgente para usuarios del navegador. cve-2026-4677 afecta a Chromium causando lectura fuera de límites en WebAudio. Esta vulnerabilidad permite la ejecución remota de código y se encuentra bajo explotación activa. Es crítica debido a su impacto y explotación confirmada. cve-2026-4679 presenta una vulnerabilidad crítica de desbordamiento entero en Google Chromium, permitiendo la ejecución remota de código. Esta falla es explotada activamente y supone un riesgo alto para los usuarios del navegador. cve-2026-4680 describe una vulnerabilidad crítica en Google Chromium que permite ejecución remota de código mediante uso después de liberación. Este defecto compromete la seguridad del navegador web con explotación activa confirmada. cve-2026-22738 afecta a Spring AI SimpleVectorStore con una vulnerabilidad crítica de inyección que permite ejecución remota de código. Se recomienda actualizar a la versión corregida para mitigar el riesgo. cve-2026-1496 afecta a la autenticación de Synopsys Coverity Connect permitiendo suplantación total de usuarios. Esta falla crítica permite a un atacante con acceso específico evadir mecanismos de seguridad y asumir roles privilegiados. cve-2026-27876 afecta a Grafana Enterprise permitiendo ejecución remota de código mediante expresiones SQL maliciosas. Es una vulnerabilidad crítica que requiere actualización inmediata para mitigar el riesgo. cve-2026-30303 afecta a un módulo de autorización automática de comandos en Axon Code. La vulnerabilidad permite la ejecución remota de código mediante inyección aprovechando un error en el análisis y manejo de comandos en Windows. Es una falla crítica con un puntaje alto de severidad. cve-2026-30304 expone una vulnerabilidad crítica en AI Code que permite ejecución remota de comandos sin validación. La falla radica en la incorrecta clasificación de comandos 'seguros', facilitando ataques de inyección de instrucciones maliciosas. cve-2026-33757 afecta a OpenBao permitiendo ataques de phishing remoto debido a la falta de confirmación en el proceso de autenticación. La vulnerabilidad permite a atacantes obtener acceso a sesiones de usuarios sin interacción manual, representando un riesgo crítico en sistemas de gestión de secretos. cve-2026-33758 afecta a OpenBao con ejecución remota de código XSS en autenticación OIDC/JWT. Permite robo de tokens en la interfaz web y control de sesiones. Su mitigación consiste en quitar roles con callback_mode directo. cve-2026-30302 describe una vulnerabilidad crítica en CodeRider-Kilo que permite la ejecución remota de código por inyección de comandos debido a un fallo en el análisis de comandos en Windows. La falla permite a atacantes pasar comandos maliciosos que el sistema aprueba erróneamente. Esto representa un riesgo severo para la seguridad de sistemas que utilicen este módulo. cve-2026-30530 afecta a SourceCodester Online Food Ordering System causando una vulnerabilidad crítica de inyección SQL que permite ejecución remota de comandos. Esta falla se produce por una validación insuficiente de entradas en el parámetro username, comprometiendo la integridad y confidencialidad de datos. cve-2026-30532 afecta a un sistema de pedidos online con una grave inyección SQL. Permite a un atacante acceder y modificar datos críticos de forma remota. Es una vulnerabilidad altamente crítica que requiere atención inmediata. cve-2026-30533 describe una vulnerabilidad crítica de inyección SQL en SourceCodester Online Food Ordering System que permite ejecución remota de código y acceso no autorizado a datos. Esta vulnerabilidad afecta directamente la seguridad de la base de datos y la integridad de la aplicación. cve-2026-33867 expone contraseñas de vídeo almacenadas sin cifrar en AVideo, permitiendo a un atacante con acceso a la base de datos obtener todas las claves. La falta de hash o cifrado en las contraseñas es la causa principal de esta vulnerabilidad crítica. cve-2026-34374 afecta a la plataforma WWBN AVideo con una inyección SQL crítica en la autenticación de publicación RTMP. Permite la ejecución de consultas arbitrarias por interpolación directa de parámetros sin validación. cve-2026-34205 afecta a Home Assistant Supervisor, permitiendo acceso no autorizado a servicios internos por una mala configuración en Docker. Esto expone datos y controles locales sin protección adecuada. cve-2026-33873 afecta a Langflow y permite ejecución remota de código debido a validación insegura de código Python generado dinámicamente. Esta vulnerabilidad crítica expone servidores completos y tiene explotación confirmada. cve-2026-33875 describe un fallo crítico en Gematik Authenticator que permite el secuestro del proceso de autenticación mediante enlaces maliciosos. La vulnerabilidad permite suplantar identidades y acceder sin autorización, con explotación activa confirmada. La actualización a la versión correcta es la única mitigación conocida. cve-2026-33937 permite la ejecución remota de código en Handlebars.js debido a una inyección de código no sanitizado. La vulnerabilidad afecta a la función compile que acepta objetos no seguros y permite controlar código en el servidor. Se recomienda validar las entradas y usar la versión runtime-only para mitigar el riesgo. cve-2026-33976 es una vulnerabilidad crítica en Notesnook que permite ejecución remota de código debido a un fallo en el manejo del recorte web. Afecta a versiones anteriores a la 3.3.11 en Web/Desktop y 3.3.17 en Android/iOS, permitiendo a atacantes obtener control total sobre el sistema. cve-2026-33992 afecta críticamente a PyLoad, permitiendo ataques SSRF que exponen datos internos y claves sensibles. Esta vulnerabilidad grave posibilita la filtración de información confidencial en entornos cloud y configura un grave riesgo para la seguridad de la infraestructura.