Actualización crítica de seguridad para Google Chrome corrige vulnerabilidades de ejecución remota de código
Google ha lanzado una actualización crítica de seguridad para su navegador Chrome en escritorio, abordando 30 vulnerabilidades, entre ellas cuatro fallas graves que permiten la ejecución remota de código (RCE). Estas vulnerabilidades, principalmente «Use-After-Free», podrían ser explotadas mediante páginas web maliciosas para ejecutar comandos arbitrarios sin interacción adicional del usuario, afectando Windows, Mac y Linux. CVE y severidad CVE Descripción Gravedad Componente CVE-2026-7363 Vulnerabilidad tipo use-after-free en Canvas Crítica Canvas CVE-2026-7361 Vulnerabilidad use-after-free que afecta iOS Crítica iOS CVE-2026-7344 Vulnerabilidad use-after-free en Accessibility Crítica Accessibility CVE-2026-7343 Vulnerabilidad use-after-free en Views Crítica Views CVE-2026-7333 Vulnerabilidad use-after-free de alta severidad en GPU…
Vulnerabilidad Crítica en cPanel & WHM
Se ha identificado una vulnerabilidad crítica en los mecanismos de autenticación de cPanel y WHM (WebHost Manager), la cual podría permitir accesos no autorizados a los paneles de administración. Esta falla afecta el proceso de login, posibilitando que un atacante comprometa el acceso al servidor, obteniendo control sobre servicios, cuentas y configuraciones sin necesidad de credenciales válidas en ciertos escenarios de explotación. CVE y severidad CVE Severidad Componentes afectados Estado explotación No asignado (en investigación) Crítica Autenticación cPanel / WHM, puertos 2083 y 2087 Reportada, en proceso de mitigación Productos afectados Fabricante Producto Versiones Afectadas cPanel, Inc. cPanel & WHM…
Vulnerabilidad crítica de ejecución remota de código en GitHub Enterprise Server y GitHub.com
Se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) catalogada como CVE-2026-3854 en la infraestructura interna de git de GitHub. Esta falla afecta el proxy babeld y permite que un usuario autenticado malintencionado comprometa servidores backend, acceda a millones de repositorios privados y, específicamente en GitHub Enterprise Server (GHES), tome control total del servidor sin necesidad de escalamiento de privilegios. CVE y severidad CVE Severidad Componentes afectados Estado explotación CVE-2026-3854 Crítica babeld git proxy, gitrpcd, pre-receive hooks (rails_env, custom_hooks_dir, repo_pre_receive_hooks) Reportada y corregida sin indicios de explotación previa Productos afectados Fabricante Producto Versiones afectadas GitHub, Inc. GitHub…
Vulnerabilidad en Nessus Agent para Windows permite escalamiento de privilegios
Se ha descubierto una vulnerabilidad de severidad alta en Nessus Agent para Windows (CVE-2026-33694) que permite la ejecución de código malicioso con privilegios SYSTEM, el nivel más alto en el sistema operativo. El fallo implica el abuso de enlaces simbólicos (junctions) en NTFS, posibilitando a un actor malicioso eliminar archivos arbitrarios y ejecutar código con control total. Este riesgo afecta principalmente a entornos empresariales que usan Nessus Agent para evaluaciones continuas de vulnerabilidades en estaciones y servidores Windows. Productos afectados Fabricante Producto Versiones afectadas Plataformas/SO Tenable Nessus Agent Hasta la versión 11.1.2 inclusive Windows Solución Actualizar a Nessus Agent versión…
Explotación de vulnerabilidades n-day en dispositivos Cisco Firepower para acceso no autorizado
Actores patrocinados por estados están explotando activamente dispositivos Cisco Firepower, utilizando dos vulnerabilidades n-day para infiltrar sistemas FXOS. Los ataques se centran en las vulnerabilidades CVE-2025-20333 y CVE-2025-20362, empleando un backdoor personalizado llamado FIRESTARTER que permite el control remoto no autorizado sobre redes comprometidas, afectando los procesos centrales de los dispositivos ASA y FTD. CVE y severidad CVE Descripción breve Estado de explotación CVE-2025-20333 Vulnerabilidad n-day que permite escalada de acceso en FXOS. Explotada activamente en campañas reales. CVE-2025-20362 Vulnerabilidad n-day complementaria para control persistente en FXOS. Explotada activamente en campañas reales. Productos afectados Fabricante Producto Componente Versiones afectadas Cisco…
Script malicioso en PowerShell roba sesiones de Telegram Desktop y Web
Se ha identificado una campaña maliciosa que utiliza un script de PowerShell alojado en Pastebin para robar sesiones activas de Telegram Desktop y Telegram Web. El script se distribuye mediante ingeniería social, haciéndose pasar por una supuesta actualización del sistema operativo Windows, con el objetivo de inducir a los usuarios a ejecutarlo manualmente. Una vez ejecutado, el código recopila información del sistema y extrae archivos de sesión de Telegram, los cuales son comprimidos y exfiltrados a través de la API de bots de Telegram. Esto permite a los atacantes secuestrar sesiones activas sin requerir credenciales ni autenticación adicional. Descripción técnica…
Vulnerabilidad de desbordamiento de memoria en asyncio de Python en Windows
Se ha identificado una vulnerabilidad de desbordamiento de memoria en la implementación de asyncio para Windows en Python, permitiendo a atacantes realizar escrituras fuera de los límites a través de una falta de validación en operaciones con sockets de red. Registrada como CVE-2026-3298 y de alta severidad, afecta exclusivamente plataformas Windows y puede derivar en corrupción de memoria, bloqueo de la aplicación o ejecución arbitraria de código. CVE y severidad CVE Severidad Componente afectado Plataformas Fecha de divulgación CVE-2026-3298 Alta asyncio.proactorEventLoop.sock_recvfrom_into() Windows 21 de abril de 2026 Productos afectados Solo las aplicaciones de red basadas en asyncio de Python que…
Modelo AI Claude Mythos detecta 271 vulnerabilidades zero-day en Mozilla Firefox
El modelo de inteligencia artificial Claude Mythos Preview de Anthropic ha descubierto 271 vulnerabilidades zero-day en Mozilla Firefox, corregidas en la versión 150 del navegador. Esta cifra supera ampliamente el total anual de vulnerabilidades críticas de Firefox en 2025, marcando un avance significativo en la detección automática de fallos graves que afectan a componentes clave del navegador y sistemas operativos con potencial de explotación remota. Productos afectados Fabricante Producto Versiones afectadas Mozilla Firefox Hasta la versión 149 (parches aplicados en la 150) Solución Actualizar a Mozilla Firefox versión 150, que incluye los parches para las 271 vulnerabilidades identificadas. Recomendaciones Se…
Ataque a la cadena de suministro compromete repositorio oficial Docker de Checkmarx KICS con código malicioso
Un ataque a la cadena de suministro afectó al repositorio oficial checkmarx/kics en Docker Hub, donde actores maliciosos introdujeron imágenes trojanizadas capaces de robar credenciales sensibles de desarrolladores y secretos de infraestructura. Docker detectó actividad sospechosa en etiquetas de imágenes KICS el 22 de abril de 2026 y alertó a investigadores de Socket, que confirmaron la sobrescritura y creación de etiquetas maliciosas. KICS es una herramienta open source ampliamente usada para analizar configuraciones de infraestructura como código, lo que la convirtió en un objetivo valioso para el atacante. Productos afectados Producto Componente Versiones afectadas Plataforma/SO Checkmarx KICS Imágenes Docker oficiales…
Vulnerabilidad crítica de path traversal sin autenticación en CrowdStrike LogScale
CrowdStrike ha alertado sobre una vulnerabilidad crítica de recorrido de rutas (path traversal) sin autenticación, identificada como CVE-2026-40050, que afecta su plataforma LogScale. Esta falla permite que un atacante remoto acceda a archivos arbitrarios en el sistema de archivos del servidor sin necesidad de autenticarse, comprometiendo la confidencialidad, integridad y disponibilidad del servicio. El vector de ataque se encuentra en un endpoint API de clúster expuesto, lo que favorece la explotación remota. CVE y severidad CVE CVSS v3.1 Severidad Alcance CVE-2026-40050 9.8 Crítica Endpoint API de cluster en CrowdStrike LogScale Productos afectados Fabricante Producto Versiones afectadas Plataforma/SO CrowdStrike LogScale Self-Hosted…