Top Vulnerabilidades Críticas 28-05-2026

cve-2026-8450 afecta a HTTP Daemon de libwww-perl y permite ejecución remota y manipulación de archivos por inyección de comandos. cve-2024-11178 es una vulnerabilidad crítica en el plugin Login with OTP para WordPress, que permite omitir la autenticación y comprometer completamente el sitio. Los atacantes pueden explotar una falta de caducidad y control en los códigos OTP para obtener acceso administrativo. cve-2025-12686 afecta a Synology BeeStation OS con una vulnerabilidad crítica de desbordamiento de buffer que permite la ejecución remota de código. Este fallo representa un riesgo elevado para la seguridad de los dispositivos afectados. cve-2026-49002 afecta a ZTE ICCP iSupport WebUI con un fallo crítico en control de acceso que permite acceso no autorizado a datos sensibles y configuración. Esta vulnerabilidad tiene una severidad crítica y es explotada activamente, representando un riesgo alto para la seguridad de sistemas afectados. cve-2026-8054 afecta a dotCMS Core permitiendo a atacantes remotos sin autenticación ejecutar inyección SQL y alterar la base de datos. Esta vulnerabilidad crítica compromete la integridad y confidencialidad del contenido gestionado por el sistema. cve-2026-42727 afecta a un plugin popular de WordPress, posibilitando inyección SQL ciega que permite manipulación y acceso no autorizado a datos sensibles. Es una vulnerabilidad crítica con explotación activa confirmada, que requiere atención inmediata. cve-2026-42731 afecta a un plugin de WordPress que permite la escalada de privilegios por asignación incorrecta. Esta vulnerabilidad es crítica y puede comprometer el control de acceso. cve-2026-42740 afecta a un plugin popular de WordPress, permitiendo inyección SQL ciega que compromete la base de datos. Esta vulnerabilidad tiene una alta severidad y explotación activa confirmada. cve-2026-42747 afecta al plugin Easy Form Builder de WordPress con una grave inyección SQL ciega. Esta vulnerabilidad expone bases de datos a accesos malintencionados y manipulación de información. Representa un riesgo crítico para la seguridad de sitios web afectados. cve-2026-42748 es una grave vulnerabilidad en el plugin WPify Woo Czech de WordPress que permite la ejecución remota de código al subir archivos maliciosos. Esta falla puede comprometer completamente el servidor web al permitir la carga de web shells. cve-2026-42755 afecta a un plugin de Wordpress que permite ejecutar inyecciones SQL ciegas, poniendo en riesgo la integridad de la base de datos y la seguridad del sitio web. Esta vulnerabilidad tiene una severidad crítica y se ha confirmado su explotación activa. cve-2026-42756 afecta a QuickWebP con una vulnerabilidad crítica de path traversal que permite la eliminación arbitraria de archivos. Esta falla es crítica debido a su nivel de severidad y la confirmación de explotación en entornos reales. cve-2026-42757 expone una vulnerabilidad crítica de recorrido de ruta en el plugin webinar-ignition para WordPress que permite la eliminación arbitraria de archivos. Este problema afecta la seguridad del sistema y puede ser explotado activamente para comprometer información importante. cve-2026-42758 permite la escalada de privilegios en el plugin WebinarIgnition para Wordpress, facilitando la obtención no autorizada de permisos elevados. Esta falla afecta directamente la seguridad de la plataforma de webinars y requiere atención inmediata. cve-2026-42761 es una vulnerabilidad crítica de inyección SQL ciega en el complemento Active Products Tables para WooCommerce que permite la manipulación de datos sensibles. Esta vulnerabilidad afecta a RealMag777 y presenta un alto riesgo por explotación activa confirmada. cve-2026-48906 describe una vulnerabilidad crítica de eliminación arbitraria de archivos en el plugin Tassos Framework Plugin para Joomla. Esta falla permite comprometer la integridad y disponibilidad de sitios web mediante explotación activa. Resulta vital aplicar parches o mitigaciones para evitar ataques. cve-2026-35087 afecta a centrales telefónicas Slican permitiendo omitir la autenticación administrativa y tomar control total sin credenciales. Es una vulnerabilidad crítica con explotación activa confirmada que pone en riesgo la gestión y seguridad del sistema telefónico. cve-2026-35087 y cve-2026-35090 afectan a centrales telefónicas Slican, permitiendo acceso remoto no autorizado mediante identificadores de llamada específicos. Ambas vulnerabilidades permiten bypass de autenticación y control total del sistema. Estas vulnerabilidades son críticas y comprometen la seguridad en la gestión remota. cve-2026-7524 es una vulnerabilidad crítica en IBM Langflow OSS que permite la ejecución remota de código mediante la manipulación de enlaces simbólicos en archivos comprimidos. Esta falla presenta un riesgo alto por su explotación activa. cve-2026-8175 afecta a IBM Aspera High-Speed Transfer Endpoint y Server, permitiendo denegación de servicio, evasión de autenticación y ejecución remota de código en explotaciones confirmadas activas. cve-2026-49103 describe una vulnerabilidad crítica en Webmin que permite la manipulación insegura de archivos adjuntos, lo que puede derivar en la ejecución remota de código. Es vital actualizar el sistema para mitigar estos riesgos graves. cve-2026-44315 describe una vulnerabilidad crítica en free5GC NEF que permite a atacantes manipular transacciones sin autorización mediante tokens falsos. Impacta gravemente la seguridad y control de acceso en redes 5G. cve-2026-44326 afecta al núcleo de red 5G free5GC permitiendo manipulación remota de suscripciones de tráfico sin autorización. La falla se debe a ausencia de validación de tokens en la API de influencia de tráfico. Esto representa un grave riesgo para la seguridad y la gestión del tráfico 5G. cve-2026-44327 expone una falla crítica en la autorización de free5GC NEF, permitiendo acceso sin control en rutas administrativas esenciales. Esta vulnerabilidad presenta un grave riesgo en redes 5G al no proteger operaciones OAM. Se debe actualizar a versiones corregidas para evitar ataques. cve-2026-44329 afecta a free5GC y permite operaciones no autorizadas en el núcleo 5G. La vulnerabilidad permite a un atacante de red manipular nodos y enlaces sin autenticación. Es crítica y cuenta con explotación activa confirmada. cve-2026-44330 afecta a free5GC NEF permitiendo acceso y manipulación no autorizada por falta de autenticación OAuth2. Esta vulnerabilidad crítica está explotada activamente y compromete la integridad y confidencialidad del núcleo 5G. cve-2026-45087 permite la ejecución remota de comandos en dalfox debido a una deserialización insegura en su modo servidor API REST. La vulnerabilidad es crítica y permite a atacantes sin autenticación ejecutar comandos arbitrarios. cve-2026-46425 afecta a Budibase, permitiendo que cualquier usuario autenticado manipule usuarios y grupos sin restricciones. Esta falla crítica de control de acceso expone a la plataforma a compromisos graves. cve-2026-48150 describe una vulnerabilidad crítica en Budibase que permite a usuarios con permisos limitados escalar privilegios y obtener acceso administrativo global. Esta falla permite ataques de escalado de privilegios en entornos con licencia Enterprise mediante la API pública. cve-2026-44590 permite la ejecución remota de comandos en el flujo de trabajo de integración continua de Sherlock. Esta vulnerabilidad crítica facilita la exfiltración del token de acceso sin restricciones. Es un riesgo grave para la seguridad de los repositorios afectados. cve-2026-44887 afecta a Pi.Alert al permitir ejecución remota de código sin autenticación mediante inyección Python en su configuración web. Esta vulnerabilidad crítica expone el control remoto completo del sistema. cve-2026-44888 afecta a Pi Alert, permitiendo la ejecución remota de código sin autenticación mediante inyección de configuración no validada. Este fallo crítico expone el sistema a control total del atacante. cve-2026-45102 afecta a OneUptime permitiendo la ejecución remota de código por escape del aislamiento. Se trata de una vulnerabilidad crítica ligada al uso incorrecto del módulo vm en Node.js, con explotación confirmada. cve-2026-8362 afecta a un módulo web con un desbordamiento de búfer crítico que permite ejecución remota de código con explotación activa. Es urgente proteger sistemas que usen este componente para evitar ataques remotos. cve-2026-8363 expone a un componente crítico a ejecución remota de código debido a un desbordamiento de búfer en pila provocado por rutas URL maliciosas. Esta falla es crítica con alta severidad y explotación confirmada. cve-2026-8364 expone una ejecución remota de código en el servicio de Gladinet Triofox, permitiendo control total remoto sobre sistemas afectados mediante manipulaciones HTTP. cve-2026-45083 permite acceso y manipulación total del índice Solr en Intranda Goobi viewer, comprometiendo la confidencialidad e integridad de los datos. Explota la aceptación sin restricciones de expresiones Solr desde clientes no autenticados, lo que facilita ataques remotos críticos. cve-2026-9739 expone a Google MCP Toolbox a ataques de DNS rebinding debido a una configuración incorrecta de seguridad en las conexiones SSE. Esta falla crítica permite la explotación activa mediante manipulación de orígenes permitidos.