Actualización crítica de seguridad en Google Chrome por vulnerabilidades zero day activas
Google ha lanzado una actualización urgente para su navegador Chrome tras confirmar la explotación activa de dos vulnerabilidades zero-day de alta severidad en componentes clave del motor de renderizado y motor JavaScript. Estas fallas permiten la ejecución arbitraria de código al escapar las protecciones del sandbox, representando un riesgo grave para los usuarios. Se recomienda actualizar inmediatamente para mitigar posibles ataques dirigidos que aprovechan estas vulnerabilidades. CVE y severidad Google ha confirmado que existen exploits activos para ambas vulnerabilidades, con una calificación de severidad Alta. Productos afectados FabricanteProductoComponenteVersiones afectadasPlataformas/SOGoogleChromeSkia (motor gráfico 2D)Versiones anteriores a 146.0.7680.75 (Linux)146.0.7680.75/76 (Windows, Mac)Windows, macOS, LinuxGoogleChromeV8…
Vulnerabilidad crítica de RCE en Splunk afecta plataformas Enterprise y Cloud
Se ha liberado un aviso de seguridad crítico que alerta sobre una vulnerabilidad de ejecución remota de comandos (RCE) de alta severidad en las plataformas Enterprise y Cloud de Splunk. Identificada como CVE-2026-20163, esta falla puede permitir a atacantes privilegiados ejecutar comandos arbitrarios en el servidor afectado mediante manipulación indebida de entradas en la previsualización de archivos cargados. Se recomienda a los administradores revisar y actualizar sus entornos para mitigar el riesgo. CVE y severidad CVE Puntaje CVSS Severidad Componente afectado Detalles clave CVE-2026-20163 8.0 Alta REST API (/splunkd/__upload/indexing/preview) Inyección de comandos al manipular parámetro unarchive_cmd con privilegios edit_cmd Productos…
Actualización de seguridad urgente para GitLab corrige vulnerabilidades críticas de XSS y DoS
GitLab ha publicado actualizaciones de seguridad urgentes para sus ediciones Community (CE) y Enterprise (EE), corrigiendo un total de 15 vulnerabilidades, incluidas fallas críticas de Cross-Site Scripting (XSS) y Denegación de Servicio (DoS). La vulnerabilidad más grave permite a atacantes autenticados inyectar código JavaScript malicioso debido a un defecto en el procesamiento de los placeholders de Markdown, mientras que varias otras permiten ataques DoS a través de la API GraphQL y otros puntos. Se recomienda a los administradores de instancias autogestionadas la aplicación inmediata de los parches para proteger sus entornos. CVE y severidad CVE Descripción CVSS Severidad Componente afectado…
Actualización de seguridad de Google Chrome corrige 29 vulnerabilidades críticas
Google ha lanzado oficialmente Chrome versión 146 para Windows, Mac y Linux, abordando 29 vulnerabilidades de seguridad, incluyendo un fallo crítico de desbordamiento de búfer en el componente WebML que permite ejecución remota de código (RCE) al visitar páginas web maliciosas. También se corrigieron múltiples fallos de alta severidad como errores de lectura fuera de límites y vulnerabilidades use-after-free, que comprometen la integridad y disponibilidad del sistema. CVE y severidad CVE Severidad Componente afectado Descripción breve CVE-2026-3913 Crítica WebML Desbordamiento de búfer en heap que permite ejecución remota de código CVE-2026-3914 Alta WebML API Vulnerabilidad severa corregida CVE-2026-3915 Alta WebML…
Vulnerabilidades críticas y de alta gravedad en Zoom para Windows permiten escalamiento de privilegios
El 10 de marzo de 2026, Zoom publicó cuatro boletines de seguridad que revelan múltiples vulnerabilidades en su suite cliente para Windows. Estas fallas, evaluadas desde alta hasta crítica severidad, permiten a atacantes escalar privilegios en sistemas afectados, destacando un fallo crítico explotable remotamente sin autenticación previa en la función de correo de Zoom Workplace para Windows. CVE y severidad CVE Boletín Producto Tipo de Vulnerabilidad Severidad Fecha de publicación CVE-2026-30903 ZSB-26005 Zoom Workplace para Windows Control externo de nombre o ruta de archivo Crítica 10/03/2026 CVE-2026-30902 ZSB-26004 Zoom Clients para Windows Mala gestión de privilegios Alta 10/03/2026 CVE-2026-30901 ZSB-26003…
Actualización Microsoft Patch Tuesday marzo 2026 corrige 78 vulnerabilidades, incluyendo un zero-day
Microsoft lanzó su actualización de seguridad de marzo 2026 abordando 78 vulnerabilidades en productos como Windows, Microsoft Office, Azure, SQL Server y .NET. Incluye un zero-day explotado activamente (CVE-2026-21262) y múltiples fallas calificadas como críticas que requieren atención inmediata por parte de los equipos de seguridad. Destacan también vulnerabilidades de ejecución remota de código, divulgación de información y elevación de privilegios que impactan componentes clave del sistema y servicios en la nube. CVE y severidad Productos afectados Fabricante Producto Componente Microsoft Windows Kernel, SMB Server, Winlogon, DWM Core Library, GDI, Routing and Remote Access Service (RRAS), Telephony Service, Accessibility Infrastructure…
Vulnerabilidad crítica en plugin User Registration & Membership de WordPress permite creación de cuentas administrador
Se ha identificado una vulnerabilidad crítica, conocida como CVE-2026-1492, en el plugin User Registration & Membership para WordPress. Esta falla permite a atacantes no autenticados evadir controles de seguridad y crear cuentas con privilegios de administrador, lo que puede llevar a un compromiso total del sitio afectado. El problema reside en una gestión inadecuada de privilegios que no valida correctamente los roles asignados durante el registro. Se recomiendan medidas urgentes para mitigar riesgos y proteger las plataformas. CVE y severidad CVE Descripción Severidad CVSS Estado de explotación CVE-2026-1492 Gestión incorrecta de privilegios en asignación de roles durante registro, permite creación…
Vulnerabilidades críticas en Trend Micro Apex One permiten ejecución remota de código
Trend Micro ha publicado correcciones para múltiples vulnerabilidades en Apex One, con severidades que varían de alta a crítica, incluyendo fallos en la consola de gestión que permiten ejecución remota de código (RCE). Las vulnerabilidades afectan a las versiones on-premises 2019 y el servicio Apex One as a Service en Windows. La explotación requiere acceso a la consola de gestión y puede permitir a atacantes subir y ejecutar código malicioso, afectando la confidencialidad e integridad del sistema. CVE y severidad CVE Tipo CVSS v3 Plataforma Notas clave CVE-2025-71210 Ejecución remota de código por recorrido de directorios en consola 9.8 Windows…
Vulnerabilidad crítica en Cisco Catalyst SD-WAN permite acceso raíz
Cisco ha informado de una vulnerabilidad crítica de día cero en sus productos Catalyst SD-WAN que actores maliciosos han explotado desde 2023 para evadir la autenticación y obtener acceso raíz. Identificada como CVE-2026-20127, afecta mecanismos clave de autenticación en controladores y gestores SD-WAN, permitiendo manipulación remota de configuraciones de red sin interacción del usuario. Se recomienda verificar registros NETCONF para detectar anomalías y aplicar actualizaciones con urgencia. CVE y severidad CVE Severidad Vector de ataque Complejidad Privilegios necesarios Interacción del usuario Componentes afectados Puntaje CVSS v3.1 CVE-2026-20127 Crítica Red Baja Ninguno No requiere Mecanismo de autenticación entre pares en Cisco…
Actualización crítica de Serv-U soluciona vulnerabilidades que permiten ejecución remota de código con privilegios root
SolarWinds ha lanzado una actualización urgente para el servidor de archivos Serv-U que corrige múltiples vulnerabilidades críticas con un CVSS 9.1, permitiendo la ejecución remota de código con privilegios root. Entre las fallas se incluyen problemas en el control de acceso, confusión de tipos y referencias inseguras a objetos, afectando componentes centrales y la interfaz web. Se recomienda a los equipos de ciberseguridad y administradores aplicar la versión 15.5.4 inmediatamente para mitigar riesgos de compromisos completos del sistema. CVE y severidad CVE CVSS Componente afectado Versión afectada Impacto CVE-2025-40538 9.1 (Crítica) Serv-U Core (Control de acceso) Versiones sin parchear Creación…