Actualización crítica en GitLab para mitigar múltiples vulnerabilidades severas
GitLab ha publicado una actualización de seguridad crítica para las ediciones Community Edition (CE) y Enterprise Edition (EE), abordando varias vulnerabilidades de alta severidad que podrían permitir a atacantes no autenticados robar tokens de acceso, realizar ataques de denegación de servicio (DoS) y ejecutar scripts maliciosos mediante Cross-Site Scripting (XSS). La falla más grave, identificada como CVE-2025-7659 (CVSS 8.0), afecta al Web IDE y posibilita el acceso no autorizado a repositorios privados. CVE y severidad CVE IDSeveridadTipoDescripciónCVE-2025-7659Alta (8.0)Robo de tokensAcceso no autenticado a tokens privados vía Web IDE.CVE-2025-8099Alta (7.5)Denegación de Servicio (DoS)Causa caída del servicio mediante consultas repetidas al GraphQL.CVE-2026-0958Alta…
Vulnerabilidad XSS en FortiSandbox permite ejecución remota de comandos
Fortinet ha informado de una vulnerabilidad de Cross-Site Scripting (XSS) de alta severidad en la plataforma FortiSandbox, identificada como CVE-2025-52436, que permite a atacante no autenticados ejecutar comandos arbitrarios en sistemas afectados mediante la interfaz gráfica (GUI). La falla, causada por una insuficiente neutralización de entradas durante la generación de páginas web, puede ser explotada al inducir a un usuario administrativo a activar código JavaScript malicioso, escalando así a ejecución remota de código (RCE) con riesgos amplios para la confidencialidad e integridad. CVE y severidad CVE Vector CVSS Severidad Componente afectado Explotación conocida CVE-2025-52436 7.9 (Alta) Alta Interfaz gráfica (GUI)…
Actualización Microsoft Patch Tuesday febrero 2026: 54 vulnerabilidades corregidas, incluidas 6 zero-days
Microsoft lanzó en su Patch Tuesday de febrero 2026, publicado el 10 de febrero, actualizaciones que corrigen 54 vulnerabilidades en Windows, Office, Azure y herramientas para desarrolladores. Se incluyen 6 vulnerabilidades zero-day explotadas o divulgadas públicamente antes del parche, abarcando fallas de ejecución remota de código (RCE), elevación de privilegios (EoP), denegación de servicio (DoS) y omisión de características de seguridad, con riesgos críticos para entornos de nube y endpoints. CVE y severidad CVE Tipo Producto afectado Severidad Notas CVE-2026-21514 Omisión de característica de seguridad Microsoft Office Word Importante Zero-day CVE-2026-21513 Omisión de característica de seguridad MSHTML Framework Importante Zero-day…
Vulnerabilidad crítica de más de 30 años en libpng permite ejecución remota de código
Se ha descubierto una vulnerabilidad crítica en libpng, la biblioteca oficial para imágenes PNG utilizada por casi todos los sistemas operativos y navegadores web. Identificada como CVE-2026-25646, esta falla es un desbordamiento de búfer en heap en la función png_set_quantize(), que podría permitir la ejecución remota de código o provocar la caída de aplicaciones. La vulnerabilidad, presente desde la creación de esta función, afecta todas las versiones anteriores y requiere actualización inmediata a libpng 1.6.55. CVE y severidad CVE Vector Severidad Componente afectado CVE-2026-25646 Heap buffer overflow en png_set_quantize() Crítica libpng – Función png_set_quantize() Productos afectados Libpng en todas sus…
Vulnerabilidad crítica de inyección SQL en FortiClientEMS para Fortinet
Fortinet ha emitido un aviso de seguridad crítico para FortiClientEMS, su solución centralizada de gestión de protección de endpoints. La vulnerabilidad, identificada como CVE-2026-21643, es un fallo de inyección SQL en el componente GUI que permite a atacantes remotos no autenticados ejecutar código arbitrario o comandos no autorizados, comprometiendo la confidencialidad, integridad y disponibilidad del sistema sin necesidad de credenciales. Se recomienda a los administradores revisar registros HTTP y limitar el acceso público hasta aplicar la actualización. CVE y severidad CVE Puntaje CVSSv3 Severidad Impacto Vector Explotación conocida CVE-2026-21643 9.1 Crítica Compromiso completo de Confidencialidad, Integridad y Disponibilidad AV:N/AC:L/PR:N/UI:N No…
Vulnerabilidad crítica de ejecución remota de código en n8n mediante flujos de trabajo manipulados
Se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) en n8n, la popular plataforma de automatización de flujos de trabajo. Esta falla permite a atacantes autenticados ejecutar comandos arbitrarios en el servidor host mediante la manipulación de flujos de trabajo. La vulnerabilidad afecta el motor de evaluación de expresiones dinámicas de n8n, lo que puede resultar en compromiso total del servidor y exfiltración de credenciales sensibles. CVE y severidad La vulnerabilidad está vinculada al CVE-2025-68613, representando una regresión significativa y ampliación del riesgo ya identificado. La ejecución remota de código permite que usuarios autenticados con permisos para…
Actualización crítica corrige vulnerabilidades de alta severidad en Google Chrome
Google ha lanzado una actualización crítica para el canal estable de Chrome que corrige dos vulnerabilidades de alta severidad en su motor JavaScript V8 y en la biblioteca de procesamiento de vídeo libvpx. Estas fallas permiten la ejecución arbitraria de código y ataques de denegación de servicio, siendo explotables a través de la visita a sitios web maliciosos que manipulan la memoria dentro del proceso del navegador. CVE y severidad CVE ID Severidad Descripción Componente Reportado por CVE-2026-1862 Alta Type Confusion Motor V8 Chaoyuan Peng CVE-2026-1861 Alta Heap Buffer Overflow libvpx Google Internal Productos afectados Google Chrome versiones anteriores a…
Ataque dirigido compromete actualización de Notepad++ mediante secuestro de infraestructura
El equipo de desarrollo de Notepad++ confirmó que un ataque dirigido, presuntamente patrocinado por un estado chino, comprometió la infraestructura de hosting compartido del proyecto entre junio y diciembre de 2025. La intrusión permitió interceptar y redirigir selectivamente el tráfico de actualizaciones hacia servidores maliciosos, aprovechando una debilidad en la validación de los paquetes antes de la versión 8.8.9, afectando la integridad y confidencialidad del proceso de actualización. Productos afectados Fabricante Producto Componente Versiones afectadas Don Ho (Notepad++ Team) Notepad++ Actualizador WinGUp / getDownloadUrl.php Antes de 8.8.9 Solución Actualizar a Notepad++ versión 8.8.9 o superior. Recomendaciones Priorizar la actualización inmediata…
Actualización crítica corrige vulnerabilidades en controladores y software vGPU de NVIDIA
NVIDIA ha publicado una actualización crítica que soluciona múltiples vulnerabilidades de alta severidad en su controlador de pantalla para GPU, software vGPU y componentes de audio HD. Estas fallas permiten a atacantes ejecutar código arbitrario y escalar privilegios en sistemas afectados, impactando plataformas Windows y Linux en líneas de productos como GeForce, RTX, Quadro, NVS y Tesla. La amenaza incluye vulnerabilidades use-after-free y desbordamientos enteros, con riesgos de manipulación de datos, denegación de servicio y divulgación de información. CVE y severidad CVE ID Componente Plataforma CVSS Score CWE Impacto Severidad CVE-2025-33217 Display Driver Windows 7.8 CWE-416 Ejecución de código, escalada…
Vulnerabilidad crítica de bypass de autenticación en Fortinet FortiCloud SSO (CVE-2026-24858)
Fortinet ha confirmado una vulnerabilidad crítica de bypass de autenticación en la funcionalidad FortiCloud SSO, activamente explotada bajo el identificador CVE-2026-24858. Esta falla afecta a varios productos incluyendo FortiOS, FortiManager, FortiAnalyzer y FortiProxy, y permite que un atacante con cuenta FortiCloud y dispositivo registrado acceda a otros dispositivos asociados a cuentas diferentes si FortiCloud SSO está habilitado, afectando la confidencialidad, integridad y disponibilidad del sistema. CVE y severidad CVE-2026-24858 tiene una puntuación CVSSv3 de 9.4 (crítica), permite el control de acceso inapropiado en el componente GUI (CWE-288). Se ha reportado explotación activa con acceso sin privilegios, sin interacción del usuario…