Falla en integración de ManageEngine AD360 expone identidad de usuarios y permite toma de control de cuentas
ManageEngine ha divulgado una vulnerabilidad de severidad alta, identificada como CVE-2026-11374, en varias soluciones de gestión de identidad y acceso (IAM) cuando se integran con AD360. La falla permite a atacantes sin autenticación predecir tokens de Single Sign-On (SSO), facilitando el robo de credenciales y el acceso no autorizado a sistemas críticos. Los productos afectados incluyen ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus y ADAudit Plus, ampliamente utilizados en entornos empresariales para gestión de Active Directory, auditorías y administración de Microsoft 365. CVE y severidad CVE: CVE-2026-11374 Severidad: Alta (según el informe inicial) Vector de explotación: Remoto, sin autenticación requerida…
Actualización crítica de Google Chrome: corrección de vulnerabilidades que permitirían ejecución remota de código
Google ha publicado una actualización crítica para Chrome que aborda 18 vulnerabilidades, incluyendo cuatro clasificadas como Críticas y catorce como Altas, capaces de permitir la ejecución de código arbitrario en sistemas afectados. Las fallas más graves corresponden a Use-after-Free (UAF) en componentes como WebGL, Autofill y Bluetooth, con potencial para escalar privilegios o ejecutar código remoto. La actualización afecta a versiones previas de Chrome en Windows, macOS y Linux. CVE y severidad CVE Severidad Tipo Componente afectado CVE-2026-13028 Crítica Use-after-Free WebGL CVE-2026-13032 Crítica Use-after-Free WebGL CVE-2026-13033 Crítica Out-of-Bounds Read Blink (InterestGroups) CVE-2026-13038 Crítica Use-after-Free Autofill CVE-2026-13021 Alta Implementación inadecuada DeviceBoundSessionCredentials…
Vulnerabilidad crítica en Google Cloud Application Integration permite ejecución remota de código en producción
Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en el servicio Application Integration de Google Cloud. La falla, identificada como CVE-2026-2031, explotaba una debilidad de control de acceso que permitía acceder a endpoints internos y desencadenar llamadas RPC arbitrarias con privilegios elevados en el entorno de producción. CVE y severidad CVE: CVE-2026-2031 Severidad: Crítica (CVSS: 10.0) Clase: Ejecución remota de código (RCE) mediante fuga de información y manipulación de flujos de trabajo internos. Impacto: Acceso completo a servicios internos de Google Cloud, incluyendo datos sensibles y capacidad de ejecución arbitraria de código en el entorno de…
Vulnerabilidad en LiteSpeed cPanel Plugin con explotación activa permite abuso de symlinks en hosting compartido
CISA incorporó CVE-2026-54420 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) tras confirmar explotación activa en entornos reales. La vulnerabilidad afecta al LiteSpeed cPanel Plugin y se relaciona con el manejo inseguro de enlaces simbólicos (UNIX symlink following, CWE-61) en servidores de hosting compartido, especialmente aquellos que utilizan CloudLinux con aislamiento CageFS. Un atacante con acceso limitado —como credenciales FTP o una web shell— puede abusar de enlaces simbólicos para acceder a archivos sensibles fuera de los directorios restringidos, lo que puede derivar en escalada de privilegios o exposición de datos entre cuentas alojadas en el mismo servidor. La inclusión…
Vulnerabilidades críticas en Firefox 152 permiten ejecución de código remoto
Mozilla publicó la versión 152 de Firefox para corregir múltiples vulnerabilidades de alta severidad que permiten ejecución de código remoto (RCE) y escapes de sandbox. Las fallas, afectando componentes críticos como WebRender, HTTP networking y WebGPU, pueden ser explotadas mediante contenido web malicioso para lograr ejecución arbitraria en sistemas comprometidos. La combinación de errores de memoria, *use-after-free* y vulnerabilidades de escalada de privilegios aumenta significativamente el riesgo de ataques en cadena. CVE y severidad CVE Severidad Componente Tipo CVE-2026-12289 Alta WebRender Escalada de privilegios CVE-2026-12291 Alta HTTP networking Use-after-free (corrupción de memoria) CVE-2026-12293 Alta WebGPU Use-after-free CVE-2026-12294–CVE-2026-12297 Alta DOM Workers,…
Advertencia crítica sobre vulnerabilidades en NGINX con riesgo de ejecución de código arbitrario y ataques DoS
F5 ha publicado un advisory de emergencia fuera del ciclo habitual de parches para múltiples vulnerabilidades de severidad crítica y alta en NGINX. Las fallas afectan a NGINX Open Source, NGINX Plus, NGINX Gateway Fabric y NGINX Ingress Controller. El CVE más grave CVE-2026-42530 alcanza un puntaje de 9.2 en CVSS v4 y podría permitir ejecución remota de código mediante corrupción de memoria en el módulo HTTP/3. También se reportan fallas que permiten ataques de denegación de servicio (DoS) sin autenticación.. CVE y severidad CVE Severidad Componente afectado Versiones afectadas CVSS (v4.0) CVE-2026-42530 Crítica ngx_http_v3_module NGINX Open Source 1.31.0–1.31.1 9.2 CVE-2026-42055 Crítica…
Vulnerabilidad «HTTP/2 Bomb» en Apache HTTP Server permite denegación de servicio remota sin autenticación
Se ha publicado un exploit de prueba de concepto (PoC) para CVE-2026-49975, una vulnerabilidad de denegación de servicio en el módulo mod_http2 de Apache HTTP Server apodada «HTTP/2 Bomb». Un atacante remoto sin autenticación puede agotar la memoria del servidor en segundos enviando una única conexión HTTP/2 especialmente construida, dejando el servicio completamente inoperativo. CVE y severidad CVE-2026-49975: Severidad alta (vector de explotación remota sin autenticación). La vulnerabilidad afecta al módulo de procesamiento de solicitudes HTTP/2 en Apache HTTP Server, con un impacto directo en la disponibilidad del servicio. Productos afectados Fabricante Producto Componente Versiones afectadas Apache Software Foundation Apache HTTP Server Módulo HTTP/2…
Vulnerabilidad crítica en Splunk AI Toolkit permite ejecución de comandos OS arbitrarios
Splunk ha divulgado una vulnerabilidad crítica (CVE-2026-20266, CVSS 9.1) en Splunk AI Toolkit que permite a atacantes ejecutar comandos arbitrarios del sistema operativo en sistemas afectados. La falla, clasificada como CWE-78 (inyección de comandos OS), reside en el componente btool helper, donde la falta de sanitización en parámetros dinámicos permite la ejecución remota de comandos sin interacción del usuario. La explotación requiere privilegios administrativos (PR:H) pero tiene baja complejidad (AC:L), afectando la confidencialidad, integridad y disponibilidad del entorno. CVE y severidad Identificador: CVE-2026-20266 Puntuación CVSS: 9.1 (Crítica) Vector CVSS: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H Clasificación CWE: CWE-78 (OS Command Injection) Estado de explotación: No…
Campaña masiva de espionaje cibernético ‘FortiBleed’ compromete más de 73,900 dispositivos Fortinet
Una campaña de ciberespionaje a gran escala denominada FortiBleed ha comprometido más de 73,932 direcciones URL de firewalls Fortinet en 194 países. Atacantes asociados a un grupo de ciberdelincuentes rusoparlantes han explotado credenciales robadas de infostealers para acceder a dispositivos FortiGate y gateways SSL VPN, pivotando hacia entornos Active Directory internos. La técnica clave incluye la interceptación de hashes de autenticación SSL VPN, descifrados mediante un cluster de 45 GPU. Sectores como defensa, manufactura y servicios profesionales han sido afectados, incluyendo filtraciones en contratistas de la OTAN. Productos afectados Fabricante Producto Componente Versiones afectadas Fortinet FortiGate Interfaz de administración y…
Ataque de RAT basado en Deno con ingeniería social avanzada en Microsoft Teams
Investigadores de InfoGuard Labs han documentado un nuevo tipo de Remote Access Trojan (RAT) desarrollado con el runtime JavaScript Deno, distribuido mediante una combinación de mailbombing (inundación de correos electrónicos) y llamadas fraudulentas en Microsoft Teams. El ataque explota la ingeniería social para generar confusión inicial, simulando una crisis técnica que justifica la descarga de un payload malicioso. El malware, modular y obfuscado, evade herramientas de detección tradicionales al aprovechar características de Deno y un canal de comunicación (C2) oculto tras un dominio de CloudFront. La ejecución inicial no generó alertas en sistemas con protección de punto de extremo activa,…