Vulnerabilidad crítica de ejecución remota de código en n8n mediante flujos de trabajo manipulados
Se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) en n8n, la popular plataforma de automatización de flujos de trabajo. Esta falla permite a atacantes autenticados ejecutar comandos arbitrarios en el servidor host mediante la manipulación de flujos de trabajo. La vulnerabilidad afecta el motor de evaluación de expresiones dinámicas de n8n, lo que puede resultar en compromiso total del servidor y exfiltración de credenciales sensibles. CVE y severidad La vulnerabilidad está vinculada al CVE-2025-68613, representando una regresión significativa y ampliación del riesgo ya identificado. La ejecución remota de código permite que usuarios autenticados con permisos para…
Actualización crítica corrige vulnerabilidades de alta severidad en Google Chrome
Google ha lanzado una actualización crítica para el canal estable de Chrome que corrige dos vulnerabilidades de alta severidad en su motor JavaScript V8 y en la biblioteca de procesamiento de vídeo libvpx. Estas fallas permiten la ejecución arbitraria de código y ataques de denegación de servicio, siendo explotables a través de la visita a sitios web maliciosos que manipulan la memoria dentro del proceso del navegador. CVE y severidad CVE ID Severidad Descripción Componente Reportado por CVE-2026-1862 Alta Type Confusion Motor V8 Chaoyuan Peng CVE-2026-1861 Alta Heap Buffer Overflow libvpx Google Internal Productos afectados Google Chrome versiones anteriores a…
Ataque dirigido compromete actualización de Notepad++ mediante secuestro de infraestructura
El equipo de desarrollo de Notepad++ confirmó que un ataque dirigido, presuntamente patrocinado por un estado chino, comprometió la infraestructura de hosting compartido del proyecto entre junio y diciembre de 2025. La intrusión permitió interceptar y redirigir selectivamente el tráfico de actualizaciones hacia servidores maliciosos, aprovechando una debilidad en la validación de los paquetes antes de la versión 8.8.9, afectando la integridad y confidencialidad del proceso de actualización. Productos afectados Fabricante Producto Componente Versiones afectadas Don Ho (Notepad++ Team) Notepad++ Actualizador WinGUp / getDownloadUrl.php Antes de 8.8.9 Solución Actualizar a Notepad++ versión 8.8.9 o superior. Recomendaciones Priorizar la actualización inmediata…
Actualización crítica corrige vulnerabilidades en controladores y software vGPU de NVIDIA
NVIDIA ha publicado una actualización crítica que soluciona múltiples vulnerabilidades de alta severidad en su controlador de pantalla para GPU, software vGPU y componentes de audio HD. Estas fallas permiten a atacantes ejecutar código arbitrario y escalar privilegios en sistemas afectados, impactando plataformas Windows y Linux en líneas de productos como GeForce, RTX, Quadro, NVS y Tesla. La amenaza incluye vulnerabilidades use-after-free y desbordamientos enteros, con riesgos de manipulación de datos, denegación de servicio y divulgación de información. CVE y severidad CVE ID Componente Plataforma CVSS Score CWE Impacto Severidad CVE-2025-33217 Display Driver Windows 7.8 CWE-416 Ejecución de código, escalada…
Vulnerabilidad crítica de bypass de autenticación en Fortinet FortiCloud SSO (CVE-2026-24858)
Fortinet ha confirmado una vulnerabilidad crítica de bypass de autenticación en la funcionalidad FortiCloud SSO, activamente explotada bajo el identificador CVE-2026-24858. Esta falla afecta a varios productos incluyendo FortiOS, FortiManager, FortiAnalyzer y FortiProxy, y permite que un atacante con cuenta FortiCloud y dispositivo registrado acceda a otros dispositivos asociados a cuentas diferentes si FortiCloud SSO está habilitado, afectando la confidencialidad, integridad y disponibilidad del sistema. CVE y severidad CVE-2026-24858 tiene una puntuación CVSSv3 de 9.4 (crítica), permite el control de acceso inapropiado en el componente GUI (CWE-288). Se ha reportado explotación activa con acceso sin privilegios, sin interacción del usuario…
Actualización de seguridad en Chrome corrige vulnerabilidad crítica en Background Fetch API
Las versiones 144.0.7559.109 y 144.0.7559.110 de Chrome han sido liberadas para el canal estable, corrigiendo una vulnerabilidad crítica (CVE-2026-1504) de severidad alta en la implementación de la Background Fetch API, que permite la descarga de archivos en segundo plano. Esta falla podría ser explotada para manipular operaciones de descarga, afectando usuarios en Windows, Mac y Linux. CVE y severidad CVE ID Descripción CVSS Componente Reporte Bounty Estado CVE-2026-1504 Implementación inapropiada en Background Fetch API 7.5 (Alta) Background Fetch API Luan Herrera (@lbherrera_) $3,000 Corregida en versiones 144.0.7559.109/110 Productos afectados Google Chrome versiones 144.0.7559.109 y 144.0.7559.110 para Windows, Mac y Linux….
Vulnerabilidad crítica en la biblioteca Python PLY permite ejecución remota de código
Python es uno de los lenguajes de programación más utilizados mundialmente, con un ecosistema amplio de bibliotecas disponibles a través de PyPI. Una de estas bibliotecas es PLY (Python Lex‑Yacc), empleada para construir analizadores sintácticos y compiladores en diversas aplicaciones Python. Recientemente se ha reportado una vulnerabilidad crítica en PLY que permite la ejecución remota de código malicioso debido a un manejo inseguro de datos no validados dentro de una funcionalidad no documentada. PRODUCTOS AFECTADOS CVE PRODUCTOS Y VERSIONES AFECTADOS SOLUCIÓN CVE‑2025‑56005 PLY (Python Lex‑Yacc) bibliotecas distribuidas en PyPI, especialmente versión 3.11 con parámetro picklefile activo Actualizar PLY a la…
Vulnerabilidad Zero-day en Microsoft Office con explotación activa
En enero de 2026, Microsoft emitió una alerta y publicó actualizaciones urgentes para mitigar una vulnerabilidad de tipo zero‑day (identificada como CVE‑2026‑21509) que estaba siendo activamente explotada por atacantes. Esta vulnerabilidad permite eludir mecanismos de seguridad internos al procesar controles COM/OLE especialmente manipulados en documentos de Office, con impacto en confidencialidad, integridad y disponibilidad del sistema afectado. La falla afecta exclusivamente a entornos Microsoft Office que se ejecutan sobre sistemas operativos Windows. CVE y severidad CVE Severidad (CVSS v3.1) Clasificación CVE-2026-21509 7.8 Alta (High) – Evasión de Funciones de Seguridad (Security Feature Bypass) Productos afectados CVE Productos Afectados (Windows) Solución…
Vulnerabilidad crítica CVE-2024-37079 en VMware vCenter Server con explotación activa
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha incluido la vulnerabilidad crítica CVE-2024-37079, que afecta a VMware vCenter Server, en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta falla, ubicada en el protocolo DCERPC, permite la ejecución remota de código sin necesidad de interacción del usuario, representando un riesgo alto para entornos empresariales que administran infraestructura virtualizada. Se recomienda monitorear el tráfico y revisar registros para detectar intentos no autorizados. CVE y severidad CVE Severidad Componente afectado Explotación activa Tipo de vulnerabilidad CVE-2024-37079 Crítica Protocolo DCERPC en VMware vCenter Server Sí Escritura fuera de límites (Out-of-bounds Write) Productos…
Vulnerabilidad crítica en LA-Studio Element Kit para Elementor permite creación no autorizada de cuentas administrativas
Se ha descubierto una vulnerabilidad crítica tipo puerta trasera en el plugin LA-Studio Element Kit para Elementor, afectando a más de 20,000 sitios activos de WordPress. Esta falla permite a atacantes crear cuentas administrativas sin necesidad de autenticación previa, comprometiendo la integridad, confidencialidad y disponibilidad de los sitios afectados. El exploit se realiza mediante un parámetro oculto en el proceso de registro de usuarios, lo que facilita la escalada de privilegios y el control total del sistema. CVE y severidad CVE ID Puntaje CVSS Severidad Componente afectado CVE-2026-0920 9.8 (Crítica) Crítica LA-Studio Element Kit para Elementor – sistema de registro…