Top Vulnerabilidades Críticas 30-04-2026

cve-2025-58179 afecta a Astro Astrojs Cloudflare con una vulnerabilidad SSRF confirmada. Permite que un atacante realice solicitudes HTTP arbitrarias desde el servidor. Esto puede derivar en filtrado de datos o acceso no autorizado a servicios internos. cve-2026-2025 afecta a un producto no especificado con exposición de información sensible y explotación activa confirmada que compromete la confidencialidad. Esta vulnerabilidad representa un riesgo alto debido a la pérdida de datos confidenciales. cve-2025-4078 permite a atacantes acceder sin permiso a directorios protegidos explotando un error en la gestión de rutas. Esta vulnerabilidad afecta a software de gestión de archivos y amenaza la seguridad y privacidad al saltar restricciones esenciales. cve-2025-24963 afecta al framework vitest, permitiendo acceso no autorizado por salto de directorio. La explotación activa aumenta la gravedad del riesgo para los sistemas afectados. cve-2025-56132 permite evadir los controles de autenticación en liquidfiles, una herramienta para transferencia segura de archivos. Esta falla crítica pone en riesgo la seguridad al permitir accesos no autorizados mediante un bypass efectivo. cve-2025-53558 describe una vulnerabilidad crítica en KEV Console que permite acceso no autorizado mediante credenciales débiles. El riesgo principal es la compromisión de sistemas mediante explotación activa de esta debilidad. cve-2025-26125 afecta a mecanismos de control de dispositivos permitiendo escalada de privilegios mediante acceso insuficiente a interfaces de control. Se confirma explotación activa que facilita acceso no autorizado con privilegios elevados. cve-2026-41940 describe una vulnerabilidad crítica con explotación activa que permite acceso no autorizado a funciones clave de un producto sin autenticar. Se identifica por la ausencia de mecanismos de autenticación en funciones críticas, lo que abre la puerta a ataques dirigidos que comprometen la seguridad del sistema. cve-2026-3325 afecta a MegaCMS y permite inyección SQL remota sin autenticación por manipulación del parámetro id_territorio. Se trata de una vulnerabilidad crítica que compromete la integridad y confidencialidad de la base de datos del sistema. cve-2026-42523 afecta a Jenkins GitHub Plugin permitiendo explotación de cross-site scripting almacenado. Esta vulnerabilidad permite a atacantes con permisos básicos ejecutar código malicioso en la interfaz web del sistema. cve-2026-36841 afecta al router TOTOLINK N200RE V5 permitiendo ejecución remota de comandos por inyección en funciones de gestión. Esta vulnerabilidad es crítica y explotable de forma remota, comprometiendo la seguridad del dispositivo. cve-2026-5166 afecta al Pardus Software Center permitiendo un recorrido de ruta que posibilita el acceso no autorizado a archivos. Esta vulnerabilidad es crítica y se ha confirmado que está siendo explotada activamente. cve-2026-26015 describe una vulnerabilidad crítica con ejecución remota de código en DocsGPT de arc53. Permite la ejecución de código arbitrario por un bypass en la validación, facilitando el control remoto del sistema afectado. cve-2026-30893 afecta a la plataforma Wazuh permitiendo ejecución remota de código mediante recorrido de ruta en clústeres. Esta vulnerabilidad crítica permite la escritura arbitraria de archivos y escalada de privilegios en sistemas comprometidos. Está confirmada su explotación activa y requiere actualización urgente para mitigar riesgos. cve-2018-25316 afecta a routers Tenda permitiendo a atacantes modificar la configuración DNS sin autenticación. La vulnerabilidad implica un fallo en la validación de sesión por cookies. Esto permite redireccionar usuarios a sitios malintencionados y representa un riesgo crítico. cve-2018-25317 describe una vulnerabilidad crítica en routers Tenda que permite modificación no autorizada de configuraciones DNS. Esta falla puede ser explotada de forma remota y activa para redirigir el tráfico de usuarios a destinos maliciosos. La explotación afecta a modelos específicos y requiere manipulación de cookies de sesión. cve-2018-25318 describe una vulnerabilidad crítica en routers Tenda FH303/A300 que permite redirigir tráfico mediante modificación de DNS sin autenticación.