Actualización crítica de seguridad en Zimbra 10.1.16 corrige XSS, XXE e inyecciones LDAP
El 4 de febrero de 2026, Zimbra lanzó la versión 10.1.16 para corregir vulnerabilidades de alta gravedad en servidores de correo electrónico, incluyendo cross-site scripting (XSS), entidad externa XML (XXE) e inyecciones LDAP autenticadas. Estas fallas podían permitir desde robo de sesiones hasta divulgación de archivos y escalamiento de privilegios, afectando múltiples componentes del sistema. Se recomienda actualizar inmediatamente para proteger las implementaciones contra posibles explotaciones. Productos afectados Producto Componentes afectados Versión afectada Zimbra Collaboration Server Webmail, Briefcase, Exchange Web Services (EWS) SOAP endpoint, LDAP Hasta la 10.1.15 Solución Actualizar a la versión 10.1.16 de Zimbra Collaboration Server. Recomendaciones Priorizar…
Actualización crítica de seguridad en Google Chrome 145 corrige vulnerabilidades para ejecución remota de código
Google ha lanzado la versión 145 de Chrome para Windows, Mac y Linux, solucionando 11 vulnerabilidades de seguridad que podrían permitir la ejecución remota de código malicioso. Entre estas fallas destaca una vulnerabilidad de tipo use-after-free en el componente CSS (CVE-2026-2313), considerada de alta severidad. La actualización se distribuye progresivamente e incluye correcciones críticas que requieren atención inmediata por parte de los usuarios. CVE y severidad CVE ID Severidad Tipo de vulnerabilidad Componente Recompensa CVE-2026-2313 Alta Use after free CSS $8,000 CVE-2026-2314 Alta Heap buffer overflow Codecs N/A CVE-2026-2315 Alta Implementación inapropiada WebGPU N/A CVE-2026-2316 Media Insuficiente aplicación de políticas…
Vulnerabilidad crítica de denegación de servicio en PAN-OS de Palo Alto Networks
Una vulnerabilidad crítica de denegación de servicio (DoS) en el software PAN-OS de Palo Alto Networks permite a atacantes no autenticados provocar ciclos infinitos de reinicio en los firewalls, lo que puede paralizar las redes empresariales. Identificada como CVE-2026-0229, esta falla afecta la función Advanced DNS Security (ADNS) cuando se utiliza junto con perfiles de spyware configurados para bloquear o alertar tráfico. La explotación repetida obliga al firewall a entrar en modo mantenimiento, deteniendo la inspección del tráfico y exponiendo a las organizaciones a interrupciones CVE y severidad ID: CVE-2026-0229 Severidad: Crítica Componente afectado: Función Advanced DNS Security (ADNS) en…
Vulnerabilidad de omisión de autenticación LDAP en FortiOS
Fortinet ha divulgado una vulnerabilidad de alta severidad que permite la omisión de autenticación LDAP en FortiOS, identificada como CVE-2026-22153. Esta falla, ubicada en el demonio fnbamd y resultante de configuraciones específicas que permiten enlaces LDAP no autenticados, podría facilitar a atacantes no autenticados eludir la autenticación LDAP para VPN sin agente o políticas Fortinet Single Sign-On (FSSO), comprometiendo el control de acceso a redes protegidas mediante SSL-VPN. CVE y severidad Identificador Severidad CVSS v3.1 Componente afectado Descripción CVE-2026-22153 Alta No especificado fnbamd daemon en FortiOS Omisión de autenticación LDAP bajo configuraciones que permiten binds no autenticados Productos afectados Fabricante…
Actualización crítica en GitLab para mitigar múltiples vulnerabilidades severas
GitLab ha publicado una actualización de seguridad crítica para las ediciones Community Edition (CE) y Enterprise Edition (EE), abordando varias vulnerabilidades de alta severidad que podrían permitir a atacantes no autenticados robar tokens de acceso, realizar ataques de denegación de servicio (DoS) y ejecutar scripts maliciosos mediante Cross-Site Scripting (XSS). La falla más grave, identificada como CVE-2025-7659 (CVSS 8.0), afecta al Web IDE y posibilita el acceso no autorizado a repositorios privados. CVE y severidad CVE ID Severidad Tipo Descripción CVE-2025-7659 Alta (8.0) Robo de tokens Acceso no autenticado a tokens privados vía Web IDE. CVE-2025-8099 Alta (7.5) Denegación de…
Vulnerabilidad XSS en FortiSandbox permite ejecución remota de comandos
Fortinet ha informado de una vulnerabilidad de Cross-Site Scripting (XSS) de alta severidad en la plataforma FortiSandbox, identificada como CVE-2025-52436, que permite a atacante no autenticados ejecutar comandos arbitrarios en sistemas afectados mediante la interfaz gráfica (GUI). La falla, causada por una insuficiente neutralización de entradas durante la generación de páginas web, puede ser explotada al inducir a un usuario administrativo a activar código JavaScript malicioso, escalando así a ejecución remota de código (RCE) con riesgos amplios para la confidencialidad e integridad. CVE y severidad CVE Vector CVSS Severidad Componente afectado Explotación conocida CVE-2025-52436 7.9 (Alta) Alta Interfaz gráfica (GUI)…
Actualización Microsoft Patch Tuesday febrero 2026: 54 vulnerabilidades corregidas, incluidas 6 zero-days
Microsoft lanzó en su Patch Tuesday de febrero 2026, publicado el 10 de febrero, actualizaciones que corrigen 54 vulnerabilidades en Windows, Office, Azure y herramientas para desarrolladores. Se incluyen 6 vulnerabilidades zero-day explotadas o divulgadas públicamente antes del parche, abarcando fallas de ejecución remota de código (RCE), elevación de privilegios (EoP), denegación de servicio (DoS) y omisión de características de seguridad, con riesgos críticos para entornos de nube y endpoints. CVE y severidad CVE Tipo Producto afectado Severidad Notas CVE-2026-21514 Omisión de característica de seguridad Microsoft Office Word Importante Zero-day CVE-2026-21513 Omisión de característica de seguridad MSHTML Framework Importante Zero-day…
Vulnerabilidad crítica de más de 30 años en libpng permite ejecución remota de código
Se ha descubierto una vulnerabilidad crítica en libpng, la biblioteca oficial para imágenes PNG utilizada por casi todos los sistemas operativos y navegadores web. Identificada como CVE-2026-25646, esta falla es un desbordamiento de búfer en heap en la función png_set_quantize(), que podría permitir la ejecución remota de código o provocar la caída de aplicaciones. La vulnerabilidad, presente desde la creación de esta función, afecta todas las versiones anteriores y requiere actualización inmediata a libpng 1.6.55. CVE y severidad CVE Vector Severidad Componente afectado CVE-2026-25646 Heap buffer overflow en png_set_quantize() Crítica libpng – Función png_set_quantize() Productos afectados Libpng en todas sus…
Vulnerabilidad crítica de inyección SQL en FortiClientEMS para Fortinet
Fortinet ha emitido un aviso de seguridad crítico para FortiClientEMS, su solución centralizada de gestión de protección de endpoints. La vulnerabilidad, identificada como CVE-2026-21643, es un fallo de inyección SQL en el componente GUI que permite a atacantes remotos no autenticados ejecutar código arbitrario o comandos no autorizados, comprometiendo la confidencialidad, integridad y disponibilidad del sistema sin necesidad de credenciales. Se recomienda a los administradores revisar registros HTTP y limitar el acceso público hasta aplicar la actualización. CVE y severidad CVE Puntaje CVSSv3 Severidad Impacto Vector Explotación conocida CVE-2026-21643 9.1 Crítica Compromiso completo de Confidencialidad, Integridad y Disponibilidad AV:N/AC:L/PR:N/UI:N No…
Vulnerabilidad crítica de ejecución remota de código en n8n mediante flujos de trabajo manipulados
Se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) en n8n, la popular plataforma de automatización de flujos de trabajo. Esta falla permite a atacantes autenticados ejecutar comandos arbitrarios en el servidor host mediante la manipulación de flujos de trabajo. La vulnerabilidad afecta el motor de evaluación de expresiones dinámicas de n8n, lo que puede resultar en compromiso total del servidor y exfiltración de credenciales sensibles. CVE y severidad La vulnerabilidad está vinculada al CVE-2025-68613, representando una regresión significativa y ampliación del riesgo ya identificado. La ejecución remota de código permite que usuarios autenticados con permisos para…