Vulnerabilidad crítica de denegación de servicio en PAN-OS de Palo Alto Networks
Una vulnerabilidad crítica de denegación de servicio (DoS) en el software PAN-OS de Palo Alto Networks permite a atacantes no autenticados provocar ciclos infinitos de reinicio en los firewalls, lo que puede paralizar las redes empresariales. Identificada como CVE-2026-0229, esta falla afecta la función Advanced DNS Security (ADNS) cuando se utiliza junto con perfiles de spyware configurados para bloquear o alertar tráfico. La explotación repetida obliga al firewall a entrar en modo mantenimiento, deteniendo la inspección del tráfico y exponiendo a las organizaciones a interrupciones CVE y severidad ID: CVE-2026-0229 Severidad: Crítica Componente afectado: Función Advanced DNS Security (ADNS) en…
Vulnerabilidad de omisión de autenticación LDAP en FortiOS
Fortinet ha divulgado una vulnerabilidad de alta severidad que permite la omisión de autenticación LDAP en FortiOS, identificada como CVE-2026-22153. Esta falla, ubicada en el demonio fnbamd y resultante de configuraciones específicas que permiten enlaces LDAP no autenticados, podría facilitar a atacantes no autenticados eludir la autenticación LDAP para VPN sin agente o políticas Fortinet Single Sign-On (FSSO), comprometiendo el control de acceso a redes protegidas mediante SSL-VPN. CVE y severidad Identificador Severidad CVSS v3.1 Componente afectado Descripción CVE-2026-22153 Alta No especificado fnbamd daemon en FortiOS Omisión de autenticación LDAP bajo configuraciones que permiten binds no autenticados Productos afectados Fabricante…
Actualización crítica en GitLab para mitigar múltiples vulnerabilidades severas
GitLab ha publicado una actualización de seguridad crítica para las ediciones Community Edition (CE) y Enterprise Edition (EE), abordando varias vulnerabilidades de alta severidad que podrían permitir a atacantes no autenticados robar tokens de acceso, realizar ataques de denegación de servicio (DoS) y ejecutar scripts maliciosos mediante Cross-Site Scripting (XSS). La falla más grave, identificada como CVE-2025-7659 (CVSS 8.0), afecta al Web IDE y posibilita el acceso no autorizado a repositorios privados. CVE y severidad CVE ID Severidad Tipo Descripción CVE-2025-7659 Alta (8.0) Robo de tokens Acceso no autenticado a tokens privados vía Web IDE. CVE-2025-8099 Alta (7.5) Denegación de…
Vulnerabilidad XSS en FortiSandbox permite ejecución remota de comandos
Fortinet ha informado de una vulnerabilidad de Cross-Site Scripting (XSS) de alta severidad en la plataforma FortiSandbox, identificada como CVE-2025-52436, que permite a atacante no autenticados ejecutar comandos arbitrarios en sistemas afectados mediante la interfaz gráfica (GUI). La falla, causada por una insuficiente neutralización de entradas durante la generación de páginas web, puede ser explotada al inducir a un usuario administrativo a activar código JavaScript malicioso, escalando así a ejecución remota de código (RCE) con riesgos amplios para la confidencialidad e integridad. CVE y severidad CVE Vector CVSS Severidad Componente afectado Explotación conocida CVE-2025-52436 7.9 (Alta) Alta Interfaz gráfica (GUI)…
Actualización Microsoft Patch Tuesday febrero 2026: 54 vulnerabilidades corregidas, incluidas 6 zero-days
Microsoft lanzó en su Patch Tuesday de febrero 2026, publicado el 10 de febrero, actualizaciones que corrigen 54 vulnerabilidades en Windows, Office, Azure y herramientas para desarrolladores. Se incluyen 6 vulnerabilidades zero-day explotadas o divulgadas públicamente antes del parche, abarcando fallas de ejecución remota de código (RCE), elevación de privilegios (EoP), denegación de servicio (DoS) y omisión de características de seguridad, con riesgos críticos para entornos de nube y endpoints. CVE y severidad CVE Tipo Producto afectado Severidad Notas CVE-2026-21514 Omisión de característica de seguridad Microsoft Office Word Importante Zero-day CVE-2026-21513 Omisión de característica de seguridad MSHTML Framework Importante Zero-day…
Vulnerabilidad crítica de más de 30 años en libpng permite ejecución remota de código
Se ha descubierto una vulnerabilidad crítica en libpng, la biblioteca oficial para imágenes PNG utilizada por casi todos los sistemas operativos y navegadores web. Identificada como CVE-2026-25646, esta falla es un desbordamiento de búfer en heap en la función png_set_quantize(), que podría permitir la ejecución remota de código o provocar la caída de aplicaciones. La vulnerabilidad, presente desde la creación de esta función, afecta todas las versiones anteriores y requiere actualización inmediata a libpng 1.6.55. CVE y severidad CVE Vector Severidad Componente afectado CVE-2026-25646 Heap buffer overflow en png_set_quantize() Crítica libpng – Función png_set_quantize() Productos afectados Libpng en todas sus…
Vulnerabilidad crítica de inyección SQL en FortiClientEMS para Fortinet
Fortinet ha emitido un aviso de seguridad crítico para FortiClientEMS, su solución centralizada de gestión de protección de endpoints. La vulnerabilidad, identificada como CVE-2026-21643, es un fallo de inyección SQL en el componente GUI que permite a atacantes remotos no autenticados ejecutar código arbitrario o comandos no autorizados, comprometiendo la confidencialidad, integridad y disponibilidad del sistema sin necesidad de credenciales. Se recomienda a los administradores revisar registros HTTP y limitar el acceso público hasta aplicar la actualización. CVE y severidad CVE Puntaje CVSSv3 Severidad Impacto Vector Explotación conocida CVE-2026-21643 9.1 Crítica Compromiso completo de Confidencialidad, Integridad y Disponibilidad AV:N/AC:L/PR:N/UI:N No…
Vulnerabilidad crítica de ejecución remota de código en n8n mediante flujos de trabajo manipulados
Se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) en n8n, la popular plataforma de automatización de flujos de trabajo. Esta falla permite a atacantes autenticados ejecutar comandos arbitrarios en el servidor host mediante la manipulación de flujos de trabajo. La vulnerabilidad afecta el motor de evaluación de expresiones dinámicas de n8n, lo que puede resultar en compromiso total del servidor y exfiltración de credenciales sensibles. CVE y severidad La vulnerabilidad está vinculada al CVE-2025-68613, representando una regresión significativa y ampliación del riesgo ya identificado. La ejecución remota de código permite que usuarios autenticados con permisos para…
Actualización crítica corrige vulnerabilidades de alta severidad en Google Chrome
Google ha lanzado una actualización crítica para el canal estable de Chrome que corrige dos vulnerabilidades de alta severidad en su motor JavaScript V8 y en la biblioteca de procesamiento de vídeo libvpx. Estas fallas permiten la ejecución arbitraria de código y ataques de denegación de servicio, siendo explotables a través de la visita a sitios web maliciosos que manipulan la memoria dentro del proceso del navegador. CVE y severidad CVE ID Severidad Descripción Componente Reportado por CVE-2026-1862 Alta Type Confusion Motor V8 Chaoyuan Peng CVE-2026-1861 Alta Heap Buffer Overflow libvpx Google Internal Productos afectados Google Chrome versiones anteriores a…
Ataque dirigido compromete actualización de Notepad++ mediante secuestro de infraestructura
El equipo de desarrollo de Notepad++ confirmó que un ataque dirigido, presuntamente patrocinado por un estado chino, comprometió la infraestructura de hosting compartido del proyecto entre junio y diciembre de 2025. La intrusión permitió interceptar y redirigir selectivamente el tráfico de actualizaciones hacia servidores maliciosos, aprovechando una debilidad en la validación de los paquetes antes de la versión 8.8.9, afectando la integridad y confidencialidad del proceso de actualización. Productos afectados Fabricante Producto Componente Versiones afectadas Don Ho (Notepad++ Team) Notepad++ Actualizador WinGUp / getDownloadUrl.php Antes de 8.8.9 Solución Actualizar a Notepad++ versión 8.8.9 o superior. Recomendaciones Priorizar la actualización inmediata…