Top Vulnerabilidades Críticas 29-05-2026

cve-2026-32998 afecta a Veeam Service Provider Console permitiendo ejecución remota de código con privilegios elevados. Esta vulnerabilidad es de severidad crítica y representa un riesgo grave para entornos gestionados con esta plataforma. cve-2026-32999 permite la ejecución remota de código en Comet Backup server debido a fallos en la validación de firmas. Esta vulnerabilidad crítica afecta directamente a la seguridad del servidor y dispositivos conectados. Se confirma explotación activa en entornos afectados. cve-2026-4408 afecta a Samba permitiendo ejecución remota de comandos por un error en el manejo de nombres de usuario en scripts de autenticación. Este fallo crítico compromete servidores de archivos y controladores de dominio clásico configurados con la opción vulnerable. cve-2026-8979 afecta a Mennekes Amtron permitiendo el salto de autenticación mediante una solicitud manipulada para cambiar contraseñas. Esta vulnerabilidad crítica facilita el acceso no autorizado y el control total del sistema de carga. cve-2026-8980 expone una grave escalada de privilegios en las estaciones de carga Mennekes Amtron, permitiendo a usuarios con baja privilegios modificar contraseñas administrativas. Esta falla crítica compromete completamente la gestión y seguridad del dispositivo. cve-2026-44672 afecta a MapFish mapfish print permitiendo ejecución remota de código sin autenticación previa. Esta vulnerabilidad crítica compromete la integridad del sistema y requiere parche inmediato para mitigar riesgos. cve-2026-24444 afecta routers cable módem de SDMC con una grave vulnerabilidad que permite acceso root remoto sin autenticar. Esta falla se debe a una contraseña hardcodeada en la interfaz web de recuperación, elevando el riesgo de control no autorizado del dispositivo. cve-2026-38702 afecta dispositivos industriales de InHand Networks, permitiendo la ejecución remota de comandos con privilegios root mediante la función de acceso administrativo. Esta vulnerabilidad crítica Impacta gravemente la seguridad al otorgar control total a atacantes. cve-2026-38703 afecta a dispositivos InHand Networks con vulnerabilidad de ejecución remota de comandos privilegiados mediante su función VPN ZeroTier. Permite a atacantes obtener acceso ROOT y controlar completamente los dispositivos afectados. cve-2026-38704 es una vulnerabilidad crítica en dispositivos InHand Networks que permite la ejecución remota de comandos con privilegios root. Afecta a varias versiones del firmware y presenta explotación activa confirmada, representando un riesgo severo para la seguridad de los dispositivos afectados. cve-2026-38707 es una vulnerabilidad crítica en routers industriales InHand Networks que permite ejecutar comandos remotos con privilegios root a través de la función VPN IPSec. Esta falla afecta a múltiples modelos y versiones de firmware de la serie IR300 e IR600. cve-2026-44477 describe una vulnerabilidad crítica en CloudNativePG Metrics Exporter que permite la ejecución remota de código con privilegios elevados. La falla reside en la incorrecta gestión de roles que posibilita recuperar permisos de superusuario y ejecutar comandos OS arbitrarios en el pod principal. cve-2026-45261 afecta a GitButler permitiendo la ejecución remota de código mediante enlaces maliciosos en solicitudes de integración. Esta vulnerabilidad crítica permite ejecutar scripts arbitrarios en la aplicación de escritorio. cve-2026-43898 describe una vulnerabilidad crítica en SandboxJS que permite ejecución remota de código debido a la exposición indebida de Function.caller en versiones anteriores a 0.9.6. cve-2026-45058 expone a electerm a ejecución remota de código mediante archivos de marcadores maliciosos o sincronización comprometida. Esta vulnerabilidad grave permite a atacantes ejecutar código de forma persistente en el sistema de la víctima. cve-2026-45311 afecta a CodeWhale permitiendo la ejecución de código arbitrario sin aprobación. Esto puede resultar en exfiltración de datos y persistencia maliciosa. cve-2026-45323 afecta a la interfaz MeshCore Lovelace card en Home Assistant causando ejecución remota de código por falla en el escape de nombres de nodos. Esta vulnerabilidad crítica permite a un atacante ejecutar código arbitrario en el frontend de usuarios que visualicen la tarjeta, con explotación activa confirmada. cve-2026-45353 afecta a electerm y permite ejecución remota de código debido a manejo inseguro de comandos. Se recomienda actualizar a la versión corregida para evitar explotación activa. cve-2026-45374 afecta a agentes de codificación en terminal con ejecución remota de comandos. Esta falla permite que sub-agentes reciban acceso completo a la shell sin autorización, comprometiendo la seguridad del sistema. La vulnerabilidad tiene una severidad crítica y se encuentra corregida en versiones posteriores. cve-2026-45039 afecta a RustFS permitiendo la autenticación por clave pública embebida y consecuente acceso no autorizado. Esta vulnerabilidad crítica compromete la seguridad de sistemas de almacenamiento distribuido con explotación activa confirmada. cve-2026-9037 afecta a controladores de carga con fallos graves en la validación del firmware. Permite ejecución remota de código con altos privilegios al instalar firmware no autorizado. Esta vulnerabilidad es crítica y tiene explotación confirmada. cve-2026-34311 es una vulnerabilidad crítica en Oracle Hospitality OPERA 5 que permite a atacantes no autenticados controlar completamente el sistema afectado a través de la red. Representa un riesgo alto para la confidencialidad, integridad y disponibilidad de la información. cve-2026-45288 afecta a un sistema de gestión de documentos que permite inyección SQL crítica sin validación de parámetros, poniendo en riesgo la integridad y confidencialidad de la base de datos. cve-2026-46775 describe una vulnerabilidad crítica en Oracle REST Data Services que permite la toma completa del servicio por atacantes con acceso de red y privilegios bajos. Esto afecta la confidencialidad, integridad y disponibilidad del sistema impactado. cve-2026-46817 es una vulnerabilidad crítica en Oracle Payments que permite a un atacante sin credenciales ejecutar código remotamente y tomar el control total del sistema. Tiene un impacto severo en la confidencialidad, integridad y disponibilidad de la aplicación. cve-2026-46819 describe una vulnerabilidad crítica en Oracle Internet Procurement Connector que permite acceso no autorizado y modificación de datos críticos. La falla afecta la confidencialidad e integridad sin requerir autenticación y ya presenta explotación confirmada. cve-2026-46822 afecta a Oracle iAssets permitiendo a atacantes remotos con pocos privilegios comprometer la confidencialidad e integridad del sistema y tomar el control total del producto. Es una vulnerabilidad crítica con altos impactos en disponibilidad y seguridad. cve-2026-46824 afecta a Oracle Universal Work Queue permitiendo la ejecución remota de código con privilegios bajos. La vulnerabilidad puede comprometer totalmente la confidencialidad, integridad y disponibilidad del sistema, resultando en una toma completa de control. cve-2026-46833 presenta una vulnerabilidad crítica en Oracle Database Server que permite la toma de control de su servicio de red mediante acceso no autenticado vía TLS. Esta falla afecta gravemente la confidencialidad, integridad y disponibilidad del sistema. cve-2026-46839 presenta una vulnerabilidad crítica en Oracle REST Data Services que permite la toma de control remota con privilegios bajos a través de HTTPS. Este fallo afecta a la confidencialidad, integridad y disponibilidad del sistema. cve-2026-46840 afecta a Oracle REST Data Services y permite la toma total del sistema mediante acceso no autenticado por red HTTPS. La vulnerabilidad es crítica, con impacto completo en confidencialidad, integridad y disponibilidad. cve-2026-9645 describe una vulnerabilidad crítica en Tenable Nessus que permite la ejecución remota de código con privilegios elevados. Esta falla compromete totalmente la integridad y seguridad del sistema afectado. cve-2026-44848 permite a usuarios estándar acceder y controlar Docker daemon en Portainer Community Edition por una falla en sistemas de gestión de plugins. Esta vulnerabilidad crítica facilita la escalada de privilegios y puede comprometer completamente los entornos gestionados. cve-2026-44849 afecta a Portainer Community Edition y permite a usuarios no privilegiados evadir restricciones de seguridad en entornos de contenedores. Esta falla crítica pone en riesgo la integridad y control de los servicios en Docker Swarm. cve-2026-8809 permite a atacantes crear cuentas administrativas sin autorización en el plugin Advanced Custom Fields Extended para WordPress. Esta vulnerabilidad crítica deriva de un fallo en la validación de parámetros en formularios públicos con acciones de creación de usuario. La explotación remota es posible en condiciones específicas, elevando el riesgo para sitios afectados.