Top Vulnerabilidades Críticas 28-04-2026

cve-2026-26150 afecta a Microsoft Purview eDiscovery con una vulnerabilidad crítica de elevación de privilegios que está siendo explotada activamente. La falla permite a atacantes elevar permisos sin autorización, poniendo en riesgo la seguridad de la información gestionada por el servicio. cve-2026-32172 afecta a Microsoft Power Apps y permite la ejecución remota de código, lo que puede dar control absoluto del sistema al atacante. La explotación activa confirma su carácter crítico y la necesidad de mitigación inmediata. cve-2026-6919 afecta a Chromium DevTools y permite la ejecución remota de código por un uso después de liberar memoria. Esta vulnerabilidad se está explotando activamente y representa un riesgo crítico en navegadores basados en Chromium. cve-2026-6921 afecta a Chromium y permite la ejecución remota de código debido a una condición de carrera en la GPU, con explotación activa confirmada. cve-2026-42208 afecta a Google Kev, permitiendo ejecución remota de código y control total del sistema. Esta vulnerabilidad es crítica y está en explotación activa. cve-2026-4047 describe una vulnerabilidad crítica en Microsoft Windows que permite la ejecución remota de código explotada activamente. Esta falla pone en riesgo el control completo del sistema por atacantes remotos. cve-2023-3793 afecta a Weaver e-cology y permite la ejecución de comandos SQL maliciosos debido a una inyección SQL activa. Esto implica un riesgo crítico para la seguridad de la base de datos y la integridad de la información en sistemas afectados. cve-2026-40453 afecta a Apache Camel permitiendo ejecución remota de código mediante manipulación de encabezados JMS. La actualización a las versiones corregidas es crucial para evitar esta vulnerabilidad crítica. cve-2026-40860 afecta a Apache Camel con una vulnerabilidad crítica de ejecución remota de código debido a la deserialización insegura de mensajes JMS. Esta vulnerabilidad permite a un atacante ejecutar código malicioso al enviar mensajes manipulados que Camel procesa sin filtros. Es fundamental actualizar a versiones corregidas para mitigar el riesgo. cve-2026-41635 describe una ejecución remota de código en Apache MINA debido a un fallo en el filtro de clases permitidas. La vulnerabilidad permite ejecutar código arbitrario cuando se procesa un objeto en memoria buffer del framework. cve-2026-33454 afecta al componente Camel-Mail de Apache Camel con una crítica vulnerabilidad de inyección de encabezados que puede modificar el flujo de procesamiento de correos. Se recomienda actualizar a las versiones corregidas para evitar la explotación. cve-2024-52046 afecta a Apache MINA por una deserialización insegura que permite ejecución remota de código. Esta falla crítica se corrige aplicando la lista blanca de clases antes de la inicialización estática, recomendándose actualizar el software afectado para evitar explotación. cve-2026-22336 afecta a Directorist Booking con una vulnerabilidad crítica de inyección SQL que permite ejecución remota de código en bases de datos. Este fallo es explotado activamente, representando un riesgo grave para sitios web que utilizan este plugin. cve-2026-22337 afecta a un plugin de WordPress y permite la escalada de privilegios mediante asignación incorrecta. Esta vulnerabilidad es crítica por su alta severidad y explotación activa confirmada. cve-2026-33453 afecta a Apache Camel Camel-Coap y permite ejecución remota de código con un paquete UDP sin autenticación. Esta vulnerabilidad es crítica y explotable activamente, comprometiendo sistemas mediante la inyección de cabeceras en mensajes internos. cve-2026-30352 afecta a leonvanzyl autocoder permitiendo ejecución remota de código por un fallo en un endpoint específico. Esta vulnerabilidad presenta alto riesgo por el control total del sistema que puede otorgar a un atacante. cve-2026-41462 afecta a ProjeQtor con una inyección SQL crítica que permite crear cuentas privilegiadas y ejecutar comandos del sistema operativo. Esta vulnerabilidad es altamente severa y ya ha sido explotada activamente. cve-2026-40976 expone un fallo crítico en Spring Boot que permite acceso no autorizado a aplicaciones web. Esta vulnerabilidad afecta a versiones específicas y permite el control total sin autenticación. cve-2026-32644 afecta a Milesight AIOT cameras, permitiendo interceptación y manipulación de comunicaciones debido a certificados SSL con claves privadas por defecto. Esta vulnerabilidad crítica compromete la integridad y confidencialidad del sistema de videovigilancia.