Top Vulnerabilidades Críticas 30-05-2026

cve-2026-0257 describe una vulnerabilidad crítica en Palo Alto Networks Prisma Access que permite la explotación mediante manipulación de cookies. Esta falla afecta la seguridad en servicios de acceso en la nube con riesgo comprobado de ataque activo. cve-2026-8732 expone una grave vulnerabilidad en WP Maps Pro que permite a atacantes acceder sin autorización a funciones críticas. La explotación activa de esta falla la convierte en una amenaza inmediata para los usuarios de este plugin. cve-2026-3655 permite a atacantes omitir la autenticación en el plugin OTP Login With Phone Number para WordPress. La falla se debe a una mala gestión de la validación de sesiones de Firebase, facilitando el acceso sin autorización. Esta vulnerabilidad afecta gravemente la integridad y seguridad de cuentas de usuario, incluyendo privilegios administrativos. cve-2026-49197 afecta a la aplicación Acer Connect con una falla en la validación de la cabecera Authorization que permite bypass de autenticación. Es una vulnerabilidad crítica con impacto directo en la seguridad de acceso. cve-2026-49199 afecta a dispositivos Acer mediante inyección de comandos en MQTT, permitiendo ejecución remota con privilegios elevados. Esta vulnerabilidad crítica y explotada activamente compromete la seguridad del sistema a nivel root. cve-2026-49200 expone credenciales en dispositivos Acer, lo que permite acceso no autorizado y control remoto. Esta vulnerabilidad crítica afecta a firmware de dispositivos de red al exponer información sensible sin autenticación previa. cve-2026-49201 afecta a dispositivos de red de Acer permitiendo la manipulación de copias de seguridad mediante una clave AES incrustada. Esto representa un alto riesgo de comprometer la integridad y persistencia del sistema. cve-2026-9558 afecta a Mautic y permite ejecución remota de código al inyectar comandos en plantillas del lado servidor. Esta vulnerabilidad crítica se debe a la falta de sandbox en la gestión de temas de la plataforma. cve-2025-41269 permite la ejecución remota de comandos en dispositivos Waterfall WF 500 TX y RX Hosts mediante una inyección en la consola web. Esta vulnerabilidad crítica compromete la integridad y disponibilidad del sistema afectado. cve-2025-41270 afecta a dispositivos Waterfall WF500 con ejecución remota de comandos sin autenticación. Permite a atacantes controlar el sistema a través de la consola web del dispositivo. cve-2025-41272 identifica una vulnerabilidad crítica en dispositivos Waterfall WF-500 que permite la ejecución remota de comandos sin autenticación. Esta falla supone un riesgo alto para la integridad y operación del hardware industrial. cve-2025-41273 permite a atacantes remotos evadir autenticación en dispositivos Waterfall WF 500 TX y RX Hosts. Esta falla crítica compromete control de sistemas industriales mediante la consola web. cve-2025-41274 afecta a dispositivos Waterfall y permite la ejecución remota de comandos arbitrarios a través de su consola web por inyección de comandos del sistema operativo, representando un riesgo crítico para la seguridad. cve-2025-41275 afecta a dispositivos industriales de Waterfall permitiendo la ejecución remota de comandos arbitrarios sin necesidad de autenticación, lo que representa un grave riesgo para la seguridad operacional. cve-2025-41276 afecta a Waterfall WF-500 y permite la ejecución remota de comandos sin autenticación. Es una vulnerabilidad crítica que compromete el control total del dispositivo. cve-2025-41277 afecta a dispositivos de comunicaciones industriales de Waterfall, permitiendo la ejecución remota de comandos sin autenticación. Es una vulnerabilidad crítica de inyección de comandos en la consola web que compromete la seguridad del sistema. cve-2026-9559 afecta a Mautic 7 permitiendo ejecución remota de código a través de un fallo en la importación de campañas. Un usuario autenticado puede sobrescribir archivos críticos mediante archivos ZIP maliciosos. Esta vulnerabilidad presenta una severidad crítica y explotación activa confirmada. cve-2026-10071 describe una vulnerabilidad crítica de carga arbitraria de archivos en DreamMaker de Interinfo que permite la ejecución remota de código. Esta falla permite a atacantes no autenticados subir y ejecutar web shells en el servidor. cve-2026-45043 es una vulnerabilidad crítica que permite escalar privilegios a nivel administrativo en RustFS mediante la creación de cuentas de servicio arbitrarias. Este fallo en la validación de peticiones expone el sistema a accesos no autorizados con credenciales persistentes. cve-2026-45312 es una vulnerabilidad crítica en RAGFlow que permite la ejecución remota de código mediante inyección de plantilla por usuarios autenticados. Afecta a un motor de generación aumentada con recuperación y se ha confirmado su explotación activa. cve-2026-8326 afecta a Remote Spark SparkView y permite ejecución remota de código con privilegios root mediante una vulnerabilidad de recorrido de ruta en la redirección de unidades RDP. Esta falla facilita tanto la lectura como la escritura arbitraria de archivos sin requerir autenticación. cve-2026-9508 expone una falla crítica en Suprema BioStar 2, permitiendo a atacantes descargar archivos de respaldo sin autenticación. Esto puede conducir a suplantación de servidor y acceso no autorizado a información sensible. cve-2026-46376 permite acceso no autorizado al panel de control de usuarios en Sangoma FreePBX. Se debe a credenciales iniciales codificadas que no se cambiaron tras la configuración inicial. Esta falla crítica expone el sistema a intrusiones sin necesidad de autenticación previa. cve-2026-10042 describe una ejecución remota de código en manga image translator debido a una deserialización insegura en su servidor API. Este fallo crítico permite comprometer por completo el entorno de ejecución. cve-2026-4290 afecta a WP Travel Pro permitiendo la eliminación arbitraria de usuarios sin autenticación. La vulnerabilidad permite eliminar cuentas de administrador y otros roles debido a una validación insuficiente de permisos. cve-2026-44962 describe una vulnerabilidad crítica en Plesk que permite la ejecución remota de comandos y escalada local de privilegios debido a una inyección XPath. Este fallo compromete la seguridad del servidor bajo control de usuarios autenticados. cve-2026-45663 afecta a Dokploy con una vulnerabilidad crítica de inyección de comandos que permite ejecución remota en el host. Es especialmente peligrosa por la directa interpolación insegura en comandos de shell al subir archivos. cve-2026-45625 describe una grave vulnerabilidad en Arcane que permite la exfiltración de credenciales Git a cualquier usuario autenticado. La falla se debe a una falta de restricción en el control de acceso administrativo en diversos endpoints. Esta vulnerabilidad crítica es prioritaria para la protección de sistemas de gestión Docker y GitOps. cve-2026-45628 afecta a la plataforma Dokploy permitiendo ejecución remota de comandos debido a entradas de usuario no sanitizadas. Esta vulnerabilidad crítica permite a atacantes autenticados ejecutar código arbitrario con permisos elevados. cve-2026-45629 afecta a la plataforma Dokploy permitiendo la ejecución remota de comandos mediante una inyección en el sistema operativo. Esta vulnerabilidad crítica puede comprometer completamente el servidor gestionado por la plataforma. cve-2026-45630 compromete la plataforma Dokploy por inyección de comandos que permite ejecución remota arbitraria. Esta vulnerabilidad crítica afecta la seguridad del sistema administrativo de la aplicación. cve-2026-45631 afecta a Dokploy y permite la ejecución remota de código mediante la falsificación de tokens JWT y acceso privilegiado. La vulnerabilidad se encuentra en un secreto de autenticación codificado que expone el sistema a ataques sin necesidad de credenciales. Está confirmada la explotación activa y se recomienda actualizar a la versión corregida. cve-2026-45632 afecta a Dokploy permitiendo la ejecución remota de código por fallos en controles de acceso a programas de tareas. Esta vulnerabilidad crítica permite que usuarios autenticados modifiquen o ejecuten scripts en servidores ajenos, poniendo en riesgo todo el sistema. cve-2026-45633 presenta una vulnerabilidad crítica de inyección de comandos en Dokploy, que permite ejecución remota con privilegios de root. La falla reside en la falta de validación de parámetros en un endpoint WebSocket, con explotación confirmada. cve-2026-45661 afecta a Dokploy y permite la escritura arbitraria de archivos y ejecución remota de código. Esta vulnerabilidad crítica compromete la integridad y confidencialidad del servidor completamente. Se ha confirmado su explotación activa, aumentando el riesgo de ataques persistentes y exfiltración de datos. cve-2026-45668 es una vulnerabilidad crítica que permite ejecución remota de código en Trilium Notes mediante recorrido de ruta y ejecución de código malicioso en notas importadas. Esta falla afecta a aplicaciones de gestión de notas y bases de conocimiento, elevando riesgos de control completo del sistema afectado. cve-2026-5386 permite un restablecimiento remoto de contraseñas sin autenticación en cámaras de seguridad KMW, comprometiendo el control completo del dispositivo. cve-2026-7786 expone credenciales de administración en dispositivos de Jinan USR IOT Technology Limited. Esta vulnerabilidad permite acceso no autorizado mediante extracción de credenciales del firmware, comprometiendo la seguridad del dispositivo de comunicación industrial. cve-2026-44649 afecta a SillyTavern permitiendo acceso no autorizado mediante cabeceras HTTP manipuladas. Esta vulnerabilidad crítica compromete la autenticación en configuraciones específicas de inicio de sesión único. cve-2026-44650 expone a SillyTavern a una eliminación masiva de archivos críticos. La falta de validación en un punto de entrada permite la explotación sin autenticación, causando daños permanentes en el entorno del usuario. cve-2026-47744 describe un fallo crítico en Shopper, donde usuarios con permisos mínimos pueden escalar a administradores completos y eliminar otros usuarios. Esta vulnerabilidad compromete la gestión de roles y permisos, afectando gravemente la seguridad del panel de administración. cve-2026-9051 describe una grave vulnerabilidad en National Instruments SystemLink Enterprise, que permite omitir la autenticación y acceder a información crítica o elevar privilegios. La explotación activa de esta falla es confirmada y representa un riesgo elevado para entornos de gestión de sistemas. cve-2026-45372 afecta a cpp-httplib y permite la inyección de cabeceras HTTP por fallo en validación y decodificación. Esta vulnerabilidad es crítica y está siendo explotada activamente. La mitigación consiste en actualizar la biblioteca a una versión corregida. cve-2026-45697 describe una vulnerabilidad crítica en el plugin Formie para Craft CMS que permite la ejecución remota de código mediante campos ocultos manipulados. La explotación de este fallo puede comprometer totalmente el sitio afectado.