Omisión de autenticación en Check Point Remote Access VPN y Mobile Access mediante IKEv1
Check Point informó una vulnerabilidad crítica que afecta implementaciones de Remote Access VPN y Mobile Access configuradas con el protocolo de intercambio de claves IKEv1, considerado obsoleto. La falla permite que un atacante remoto no autenticado omita la autenticación de usuario y establezca una conexión VPN de acceso remoto sin contar con una contraseña válida. Se reportó explotación activa desde junio de 2026, con indicios de actividad previa observada desde mayo de 2026 CVE y severidad La vulnerabilidad corresponde a una debilidad de flujo lógico en la validación de certificados de Remote Access y Mobile Access cuando se utiliza el…
Google lanza parche masivo para Chrome que corrige 429 vulnerabilidades
Google ha lanzado la versión estable 149.0.7827.x de Chrome, corrigiendo 429 vulnerabilidades, de las cuales 22 están clasificadas como críticas y afectan componentes esenciales como gráficos, GPU y motor del navegador en Windows, macOS, Linux y Chrome para iOS. Estas fallas incluyen condiciones use-after-free y desbordamientos, que podrían permitir ejecución remota de código, elevación de privilegios y escapes de sandbox, aumentando el riesgo especialmente en entornos empresariales con múltiples dispositivos. CVE y severidad CVE ID Componente Clase de fallo CVE-2026-10881 ANGLE Lectura/Escritura fuera de límites CVE-2026-10882 Network Use-after-free CVE-2026-10883 ANGLE Escritura fuera de límites CVE-2026-10884 Chromecast Use-after-free CVE-2026-10885 Chrome para…
Vulnerabilidades XSS almacenadas en VMware Cloud Foundation Operations y productos relacionados de Broadcom
Broadcom ha reportado tres vulnerabilidades de Cross-Site Scripting almacenadas (XSS) en VMware Cloud Foundation Operations y productos asociados de Broadcom, permitiendo a atacantes autenticados inyectar scripts maliciosos para realizar acciones administrativas. Identificadas como CVE-2026-41722, CVE-2026-41723 y CVE-2026-41724, con una puntuación CVSSv3 base de 8.0, estas fallas requieren que los atacantes tengan privilegios para crear políticas o widgets. La persistencia del código malicioso incrementa el riesgo en plataformas de infraestructura virtualizada. CVE y severidad CVE-2026-41722: Stored XSS en VMware Cloud Foundation Operations y productos relacionados, CVSSv3 base score 8.0, severidad importante. CVE-2026-41723: Stored XSS con impacto similar, CVSSv3 base score 8.0,…
Vulnerabilidad en Cisco Catalyst SD-WAN Manager permite ejecución remota con privilegios root
Cisco ha reportado una vulnerabilidad de alta severidad en Catalyst SD-WAN Manager que está siendo explotada activamente, permitiendo la ejecución remota de comandos arbitrarios con privilegios root. La falla, identificada como CVE-2026-20245, se debe a una validación insuficiente de entradas en la interfaz de línea de comandos, siendo explotable mediante carga de archivos maliciosos por un atacante autenticado con permisos de nivel netadmin. Esta vulnerabilidad compromete plenamente la gestión SD-WAN y puede afectar dispositivos conectados. CVE y severidad CVE CVSS Base Severidad Componente afectado Explotación conocida CVE-2026-20245 7.8 Alta Interfaz de línea de comandos – validación insuficiente de entrada durante…
Explotación remota HTTP/2 Bomb afecta servidores web populares
Una nueva vulnerabilidad de denegación de servicio remoto, denominada «HTTP/2 Bomb», afecta las configuraciones predeterminadas de HTTP/2 en servidores web ampliamente usados como nginx, Apache httpd, Microsoft IIS, Envoy y Cloudflare Pingora. Este exploit permite a un atacante remotamente consumir decenas de gigabytes de memoria del servidor en segundos mediante la combinación inédita de una bomba de compresión HPACK y una técnica de retención tipo Slowloris, impactando la disponibilidad del servicio. CVE y severidad CVE Descripción Fecha de asignación CVE-2026-49975 Vulnerabilidad en Apache httpd que permite una amplificación masiva de memoria mediante manipulación de la compresión de encabezados HTTP/2. 27…
Vulnerabilidad alta en Claude Code GitHub Actions permite comprometer repositorios mediante ataque a la cadena de suministro
Se identificó una vulnerabilidad alta de cadena de suministro en el flujo de trabajo oficial CI/CD de Anthropic para Claude Code en GitHub Actions. Un atacante externo no autenticado podía comprometer cualquier repositorio que dependiera de este workflow — incluyendo la propia infraestructura de Anthropic — mediante la combinación de un bypass de permisos y técnicas de prompt injection. Productos afectados Fabricante Producto Componente Versiones afectadas Anthropic Claude Code GitHub Actions Workflow CI/CD v1.0.93 y anteriores Solución Actualizar a Claude Code GitHub Actions versión 1.0.94 o posterior. Recomendaciones Auditar todos los flujos de trabajo que utilicen la configuración allowed_non_write_users, restringir…
Vulnerabilidad crítica en PAN-OS de Palo Alto Networks permite bypass de autenticación y acceso VPN no autorizado
Se ha incluido una vulnerabilidad crítica en PAN-OS de Palo Alto Networks en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), debido a su uso activo en ataques reales. Esta falla permite a atacantes remotos evadir mecanismos de autenticación y obtener acceso no autorizado vía VPN, comprometiendo la seguridad perimetral y permitiendo movimientos laterales dentro de la red. CVE y severidad CVE CWE Tipo Status de explotación CVE-2026-0257 CWE-565 (Bypass de autenticación) Bypass de autenticación remoto Explotación activa confirmada Productos afectados La vulnerabilidad afecta a PAN-OS, el sistema operativo que ejecuta los firewalls de Palo Alto Networks, incluyendo componentes que gestionan…
Vulnerabilidad crítica en chatbot de IA de Meta permite secuestro de cuentas Instagram
Una grave falla lógica en el chatbot de soporte impulsado por IA de Meta para Instagram permitió a atacantes eludir completamente la autenticación en dos pasos sin necesidad de códigos, mediante solicitudes directas al asistente. Este vector habilitó el secuestro rápido de cuentas valiosas, incluidos nombres “OG” y perfiles verificados, explotando accesos privilegiados del bot para modificar correos electrónicos y restablecer contraseñas sin alertar a las víctimas. Productos afectados Fabricante Producto Componente Impacto Meta Instagram Chatbot de soporte con IA Secuestro de cuentas mediante restablecimiento de contraseña sin verificación adicional Solución Meta aplicó un parche de emergencia que deshabilita o…
Vulnerabilidad crítica RCE en Windows Netlogon explotada activamente
Se ha detectado una explotación activa de la vulnerabilidad crítica de ejecución remota de código (RCE) en Windows Netlogon, identificada como CVE-2026-41089. Esta falla afecta los controladores de dominio de Windows Server, permitiendo a atacantes remotos no autenticados ejecutar código con privilegios SYSTEM mediante solicitudes especialmente manipuladas al servicio Netlogon. Su explotación no requiere interacción del usuario, lo que eleva el riesgo de compromisos totales de infraestructura. CVE y severidad CVE Severidad Componentes afectados Estado de explotación CVE-2026-41089 Crítica Windows Netlogon en controladores de dominio Explotación activa Productos afectados Fabricante Producto Componente Versiones afectadas Plataformas/SO Microsoft Windows Server Netlogon Service…
Actualizaciones urgentes de seguridad en GitLab por vulnerabilidades en Duo AI, DoS y autorización
GitLab ha publicado actualizaciones de seguridad de emergencia para las ediciones Community y Enterprise, corrigiendo múltiples fallas relacionadas con Duo AI, denegación de servicio y autorización en versiones recientes. La falla más crítica permite la ejecución de flujos Duo AI bajo identidades equivocadas en entornos auto gestionados. Se recomienda actualizar urgentemente a las versiones corregidas para evitar abuso de privilegios y afectación de disponibilidad. CVE y severidad CVE Descripción CVSS 3.1 Severidad Componentes afectados Versiones afectadas CVE-2026-4868 Falla de control de acceso en Duo AI workflow runners permitiendo ejecución con identidad incorrecta. 8.2 Alta Duo AI workflow runners EE 18.8…