Actualización crítica corrige múltiples vulnerabilidades en PostgreSQL incluyendo ejecución arbitraria de código e inyección SQL
El Grupo de Desarrollo Global de PostgreSQL ha publicado actualizaciones críticas para todas las ramas soportadas que solucionan 11 vulnerabilidades, incluyendo ejecución arbitraria de código e inyecciones SQL en módulos clave como refint y la replicación lógica. Estas fallas permiten la ejecución de código con privilegios elevados y la escalación de privilegios, afectando gravemente la integridad y la disponibilidad de bases de datos en producción. Se recomienda revisar configuraciones donde se utilicen mecanismos afectados para detectar posibles indicios de explotación. CVE y severidad CVE Impacto Descripción breve CVE-2026-6472 Escalada de privilegios y ejecución arbitraria de SQL Elude privilegios y ejecuta…
Vulnerabilidad de desbordamiento de búfer en NGINX JavaScript (njs)
Se ha identificado una vulnerabilidad en NGINX JavaScript (njs), identificada como CVE-2026-8711, que permite a atacantes remotos no autenticados provocar un desbordamiento de búfer basado en heap. Este fallo afecta al módulo ngx_http_js_module cuando se usa la directiva js_fetch_proxy con variables controladas por el cliente, pudiendo causar denegación de servicio y, en ciertos entornos, ejecución remota de código en el proceso worker de NGINX. CVE y severidad ID CVE Clasificación CWE Impacto Componente afectado Severidad CVE-2026-8711 CWE-122: Heap-based Buffer Overflow Denegación de servicio y posible ejecución remota de código ngx_http_js_module (NJS – js_fetch_proxy, js_content) Alta Productos afectados Fabricante Producto Componente…
Vulnerabilidad crítica en Windows BitLocker
Microsoft ha revelado una vulnerabilidad zero-day crítica en Windows BitLocker (CVE-2026-45585) que permite a actores maliciosos con acceso físico eludir completamente el cifrado de disco completo, exponiendo datos sensibles en minutos. El fallo afecta al entorno de recuperación de Windows (WinRE) y puede explotarse sin credenciales ni claves de descifrado. Se recomienda tomar medidas urgentes mientras se prepara un parche oficial. CVE y severidad CVE Clasificación Estado de explotación Componentes afectados CVE-2026-45585 Bypass de seguridad Explotación probable Windows Recovery Environment (WinRE), BitLocker Device Encryption Productos afectados Fabricante Producto Versiones afectadas Plataformas/SO Microsoft Windows BitLocker Windows 11, Windows Server 2022, Windows…
Explotación activa de vulnerabilidad crítica CVE-2026-42945 en NGINX
Una vulnerabilidad crítica tipo heap buffer overflow ha sido identificada en NGINX Open Source y NGINX Plus, permitiendo a atacantes no autenticados provocar la caída de procesos trabajadores mediante solicitudes HTTP especialmente diseñadas. En ciertas configuraciones específicas y con ASLR deshabilitado, existe el riesgo potencial de ejecución remota de código (RCE). Esta vulnerabilidad está siendo explotada activamente en entornos reales poco después de su divulgación pública. CVE y severidad ID CVE Clasificación Componente afectado Estado de explotación CVE-2026-42945 Crítica (heap buffer overflow) Procesos worker NGINX con configuración específica de rewrite Explotación activa reportada Productos afectados Fabricante Producto Versiones afectadas F5…
Vulnerabilidades críticas en n8n permiten ejecución remota de código
Se han reportado tres vulnerabilidades críticas que afectan nodos principales de la plataforma, específicamente HTTP Request, Git y XML. Estas fallas pueden ser explotadas por usuarios autenticados con permisos para crear o modificar flujos de trabajo, permitiendo desde contaminación de prototipos y lectura arbitraria de archivos hasta ejecución remota de código en el host donde se ejecuta n8n. CVE y severidad Productos afectados CVE Nodo afectado Versiones afectadas CVE-2026-44789 HTTP Request n8n en versiones inferiores a 1.123.43, 2.20.7 y 2.22.1, según la rama utilizada. CVE-2026-44790 Git n8n en versiones inferiores a 1.123.43, 2.20.7 y 2.22.1, según la rama utilizada. CVE-2026-44791…
Vulnerabilidad crítica de bypass de autenticación en plugin Burst Statistics para WordPress
Una vulnerabilidad crítica en el popular plugin Burst Statistics para WordPress ha expuesto más de 200,000 sitios web a la toma de control total de cuentas administrativas mediante un bypass de autenticación. Identificada el 8 de mayo de 2026 y registrada como CVE-2026-8181, esta falla afecta versiones de la 3.4.0 a la 3.4.1.1, permitiendo a atacantes no autenticados ejecutar acciones con privilegios elevados a través de peticiones REST API maliciosas. CVE y severidad CVE CVSS Severidad Componente afectado Estado de explotación CVE-2026-8181 9.8 Crítica Función is_mainwp_authenticated() en plugin Burst Statistics (MainWP integration) Explotación confirmada, parche disponible Productos afectados El plugin…
Compromiso de token privilegiado en entorno GitHub de Grafana Labs permite descarga de código fuente
Un actor malicioso logró infiltrarse en el entorno GitHub de Grafana Labs mediante la obtención de un token privilegiado. Esta vulnerabilidad, originada por una mala configuración en un flujo de trabajo de GitHub Actions, permitió al atacante descargar el código privado de la empresa, generando un riesgo serio para la cadena de suministro del software. La detección se activó gracias a un token canario implementado en los repositorios, alertando al equipo global de seguridad. Productos afectados Fabricante Producto Componente Grafana Labs Grafana Entorno GitHub y GitHub Actions (workflow pull_request_target) Solución Invalidar inmediatamente los tokens comprometidos, eliminar el GitHub Action vulnerable…
Vulnerabilidad RCE en Claude Code CLI permite ejecución remota via deeplinks maliciosos
Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en la herramienta Claude Code CLI de Anthropic, que permite a atacantes ejecutar comandos arbitrarios en el equipo de la víctima mediante deeplinks especialmente diseñados. Esta falla, originada en un parser ingenuo de argumentos en línea de comandos, afectaba el manejador de enlaces claude-cli://, permitiendo inyección de comandos sin interacción adicional más allá de hacer clic en el enlace malicioso. La vulnerabilidad fue corregida en la versión 2.1.118. Productos afectados Fabricante Producto Componentes Versiones afectadas Plataformas/SO Anthropic Claude Code CLI Manejador deeplink, parser de argumentos CLI Antes de…
Actualización de seguridad crítica corrige 79 vulnerabilidades en Google Chrome
Google ha lanzado una actualización de seguridad masiva para su navegador Chrome, corrigiendo 79 vulnerabilidades que incluyen 14 fallos críticos. Estas vulnerabilidades afectan componentes clave y permiten la ejecución remota de código a través de páginas HTML maliciosas, poniendo en riesgo la integridad del sistema operativo. La versión estable más reciente es 148.0.7778.167/168 para Windows y Mac, y 148.0.7778.167 para Linux. CVE y severidad CVE ID Componente Tipo de vulnerabilidad CVE-2026-8509 WebML Desbordamiento de búfer en Heap CVE-2026-8510 Skia Desbordamiento entero CVE-2026-8511 UI Use after free CVE-2026-8512 FileSystem Use after free CVE-2026-8513 Input Use after free CVE-2026-8514 Aura Use…
Vulnerabilidad crítica de bypass de autenticación en Cisco Catalyst SD-WAN Controller
Se ha identificado una vulnerabilidad crítica de bypass de autenticación, CVE-2026-20182, que afecta al servicio “vdaemon” del Cisco Catalyst SD-WAN Controller sobre DTLS (puerto UDP 12346). Esta vulnerabilidad permite a un atacante remoto no autenticado hacerse pasar por un nodo autenticado, permitiéndole ejecutar operaciones privilegiadas como la inyección de claves SSH maliciosas. La exposición se limita al puerto DTLS usado para la comunicación del plano de control, con un impacto crítico en la confidencialidad e integridad del dispositivo. CVE y severidad CVE CVSSv3.1 Severidad Componente afectado Descripción CVE-2026-20182 10.0 (Crítica) Crítica Servicio vdaemon sobre DTLS (UDP 12346) Bypass de autenticación…