Actualización de seguridad de Google Chrome corrige 33 vulnerabilidades, incluyendo fallos críticos de ejecución de código
Google ha publicado una actualización de seguridad para Chrome que corrige 33 vulnerabilidades, varias de ellas clasificadas como críticas por su potencial de ejecución remota de código (RCE). Entre ellas destacan siete vulnerabilidades críticas, en su mayoría fallos de corrupción de memoria de tipo use-after-free, en componentes como WebShare, WebView, Digital Credentials, File Input, Passwords y Web Authentication. La explotación exitosa de estas vulnerabilidades podría permitir la ejecución de código arbitrario mediante contenido web especialmente diseñado. En un escenario real, basta con que la víctima visite una página web maliciosa para desencadenar la explotación, sin interacción adicional. CVE y severidad…
Vulnerabilidad crítica en LiteSpeed cPanel Plugin explotada activamente
Se está explotando activamente en el salvaje una vulnerabilidad de tipo escalada de privilegios (CVE-2026-54420) en el plugin de usuario de LiteSpeed para cPanel. La falla permite a atacantes con acceso limitado (como credenciales FTP o una shell web comprometida) escalar privilegios hasta nivel root, comprometiéndose servidores compartidos bajo condiciones específicas. La explotación abusa de llamadas internas a APIs del plugin para bypassear las restricciones de CageFS de CloudLinux, violando la aislación de inquilinos en entornos de hosting compartido. CVE y severidad CVE-2026-54420 (severidad Crítica). Estado: Activamente explotada en entornos reales. Impacto: Compromiso total del servidor (C: Alto / I:…
Cisco SD-WAN vManage afectado por vulnerabilidad explotada activamente en ataques Zero-Day
Cisco ha reportado una vulnerabilidad crítica en Cisco Catalyst SD-WAN Manager (vManage), actualmente explotada en ataques de día cero. La falla, clasificada como escritura arbitraria de archivos en la interfaz web de administración, permite a atacantescon acceso de escritura y credenciales válidas subir archivos maliciosos al sistema operativo subyacente. Aunque el puntaje CVSS es 6.5, el riesgo se agrava por la capacidad de escalar privilegios a nivel root y desplegar cargas útiles como shells web. Cisco confirmó explotación limitada en entornos reales desde junio de 2026, afectando todas las modalidades de despliegue, incluyendo entornos en la nube y on-premises. CVE…
Falla en Linux Permite Escapar de una Máquina Virtual y Apoderarse del Servidor que la Aloja
Se ha publicado un exploit de prueba de concepto (PoC) para la vulnerabilidad crítica CVE-2026-46316 en el kernel de Linux, denominada «ITScape», que permite a un atacante escapar de una máquina virtual y ejecutar comandos arbitrarios en el host con privilegios completos a nivel de kernel, en entornos KVM sobre arquitectura arm64. CVE y severidad CVE Gravedad Componente afectado Impacto CVE-2026-46316 Crítica KVM en kernel Linux (vGIC-ITS en ARM64) Escape de VM a host con ejecución de código en kernel Productos afectados La vulnerabilidad afecta a versiones del kernel Linux lanzadas desde abril de 2024 (commit 8201d1028caa) hasta principios de…
Vulnerabilidad Crítica en Splunk Enterprise Expone Sistemas a Ejecución Remota sin Autenticación
El 10 de junio de 2026 se publicaron múltiples vulnerabilidades de severidad crítica y alta en Splunk Enterprise, que podrían permitir a atacantes ejecutar scripts maliciosos, exfiltrar datos sensibles y realizar operaciones no autorizadas en archivos. Se identificaron 7 vulnerabilidades, siendo la más crítica el CVE-2026-20253 con una puntuación CVSS de 9.8, la cual permite la creación de archivos sin autenticación previa, lo que podría ocasionar un compromiso total del sistema. Otras vulnerabilidades incluyen ataques de cross-site scripting almacenado y SSRF, impactando principalmente componentes web y requiriendo interacción del usuario o configuraciones inseguras. CVE y severidad CVE Severidad Descripción Impacto CVE-2026-20253…
Vulnerabilidad crítica de día cero en Microsoft Exchange Server permite ejecución remota de JavaScript
Microsoft ha confirmado la explotación activa de una vulnerabilidad de día cero en Exchange Server on-premises, identificada como CVE-2026-42897, que permite la ejecución remota de JavaScript malicioso en Outlook Web Access (OWA) a través de un correo electrónico especialmente diseñado. Esta falla de tipo cross-site scripting (XSS) afecta a versiones 2016, 2019 y Subscription Edition (SE) de Exchange Server, pudiendo facilitar suplantación de correo, robo de credenciales y secuestro de sesión. CVE y severidad CVE CVSS v3.1 Severidad Componentes afectados CVE-2026-42897 8.1 (Alta) Crítica Exchange Server 2016, Exchange Server 2019, Exchange Server Subscription Edition (SE) — solo on-premises Productos afectados…
Microsoft corrige 198 vulnerabilidades en su Patch Tuesday de Junio 2026 con 3 zero-days
Microsoft publicó el 9 de junio de 2026 su actualización mensual, corrigiendo 198 vulnerabilidades en múltiples componentes de su ecosistema, incluyendo 3 zero-days activamente explotados. Entre las fallas destacan elevaciones de privilegio, ejecución remota de código y bypass criptográficos, afectando servicios críticos como BitLocker, HTTP.sys, Remote Desktop y Hyper-V. Se recomienda a los administradores priorizar la aplicación inmediata de los parches para mitigar riesgos elevados en entornos externos y protegidos. CVE y severidad CVE Tipo Severidad Componente afectado Explotación conocida CVE-2026-50507 Security Feature Bypass Importante Windows BitLocker Sí CVE-2026-49160 Denial of Service Importante HTTP.sys (HTTP/2) Sí CVE-2026-45586 Variado (confirmado zero-day)…
Vulnerabilidad crítica en FortiSandbox permite ejecución remota de comandos sin autenticación
Fortinet ha revelado una vulnerabilidad crítica en su línea de productos FortiSandbox que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios del sistema operativo a través de la interfaz web. Clasificada como CVE-2026-25089 con una puntuación CVSSv3 de 9.1, afecta múltiples versiones de FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS. La explotación exitosa puede comprometer la confidencialidad, integridad y disponibilidad del sistema afectado. CVE y severidad CVE CVSSv3 Severidad Componente Estado de explotación CVE-2026-25089 9.1 (Crítico) Crítica Interfaz Web de FortiSandbox (inyección de comandos OS – CWE-78) No reportada en estado activo Productos afectados Producto Versiones afectadas Acción recomendada FortiSandbox…
Actualización de seguridad en Google Chrome corrige vulnerabilidad zero-day en motor V8
Google ha publicado una actualización de emergencia para Chrome que corrige una vulnerabilidad de tipo out-of-bounds (lectura y escritura fuera de límites) en el motor JavaScript V8, identificada como CVE-2026-11645 con un puntaje CVSS de 8.8 (Alta). La vulnerabilidad tiene explotación activa confirmada, lo que eleva su prioridad de atención al nivel crítico operacional. CVE y severidad CVE Fecha de parcheo Componente Tipo de vulnerabilidad Versión fija Explotación conocida Severidad CVE-2026-11645 9 de junio de 2026 V8 (motor JavaScript) Lectura y escritura fuera de límites 149.0.7827.102/.103 Sí, explotación activa confirmada Alta Productos afectados Producto Versiones afectadas Plataformas / Sistemas Operativos…
Vulnerabilidad Use-After-Free en nftables del Kernel Linux permite escalada de privilegios
Se ha divulgado una vulnerabilidad de tipo Use-After-Free en el subsistema nftables del Kernel Linux, identificada como CVE-2026-23111, que puede permitir a usuarios locales sin privilegios obtener privilegios de root en sistemas afectados. La falla se origina en el manejo interno de elementos catchall dentro de nftables y puede ser explotada para comprometer completamente el sistema operativo. Los investigadores han publicado un método de explotación funcional con una alta tasa de éxito en entornos de prueba. Impacto La explotación exitosa de esta vulnerabilidad puede permitir: CVE y severidad ID CVE Componente afectado Impacto Estado de explotación CVE-2026-23111 Subsistema nftables del…