Bypass de autenticación en Nginx UI con impacto crítico y explotación activa
Se ha identificado una vulnerabilidad crítica de bypass de autenticación en Nginx UI, catalogada como CVE-2026-33032 (CVSS 9.8), la cual está siendo explotada activamente. La falla permite a atacantes remotos no autenticados obtener control total sobre instancias afectadas mediante el abuso del endpoint /mcp_message, el cual carece de controles de autenticación. Esta condición, combinada con una configuración por defecto permisiva (whitelist de IPs vacía), permite el acceso no autorizado y la ejecución de acciones administrativas sobre el servidor Nginx, incluyendo la modificación de configuraciones y reinicio de servicios. CVE y severidad CVE CVSS v3 Base Score Severidad Componente afectado Estado de…
Vulnerabilidad crítica en Cisco Webex permite suplantación de usuarios mediante SSO
Cisco ha emitido una advertencia de seguridad crítica sobre una vulnerabilidad severa en sus servicios cloud de Webex, identificada como CVE-2026-20184, con una puntuación CVSS base máxima de 9.8. Esta falla permite a un atacante remoto no autenticado omitir completamente los mecanismos de autenticación y suplantar cualquier usuario legítimo, afectando principalmente integraciones de Single Sign-On (SSO) en el Webex Control Hub y comprometiendo datos corporativos y comunicaciones internas. CVE y severidad CVE CVSS Base Severidad Alcance CVE-2026-20184 9.8 Crítica Servicios Cisco Webex en la nube con integración SSO en Control Hub Productos afectados Servicios cloud de Cisco Webex con integración…
Vulnerabilidad alta en Splunk Enterprise y Cloud permite ejecución remota de código
Se ha divulgado oficialmente una vulnerabilidad crítica identificada como CVE-2026-20204, con un puntaje CVSS de 7.1, que afecta múltiples versiones de las plataformas Splunk Enterprise y Cloud. Esta falla permite la ejecución remota de código (RCE) mediante la carga de archivos maliciosos manipulando el manejo inadecuado de archivos temporales en el componente Splunk Web, con un acceso mínimo requerido por parte del atacante. CVE y severidad CVE Puntaje CVSS Severidad Alcance Explotación conocida CVE-2026-20204 7.1 Alta Splunk Web componente en Enterprise y Cloud No reportada actualmente Productos afectados Fabricante Producto Componente Versiones afectadas Plataformas/SO Splunk Inc. Splunk Enterprise Splunk Web…
Actualización Crítica de Seguridad en Google Chrome Corrige 31 Vulnerabilidades
Google ha publicado una actualización crítica para su navegador Chrome que corrige un total de 31 fallos de seguridad. La gravedad de esta actualización radica en que 5 de estas vulnerabilidades han sido calificadas como «Críticas», el nivel de riesgo más alto, ya que permiten la ejecución remota de código (RCE) sin necesidad de privilegios de administrador. Usuarios y administradores deben actualizar de inmediato para proteger sistemas contra accesos no autorizados y potenciales ataques que comprometan datos o control completo del dispositivo. CVE y severidad A continuación, se detallan las vulnerabilidades críticas: CVE Descripción Severidad Componente afectado CVE-2026-6296 Desbordamiento de…
Actualización de seguridad de Microsoft abril 2026 corrige 168 vulnerabilidades, incluyendo Zero-Day en SharePoint
Microsoft ha publicado su actualización de seguridad de abril 2026, corrigiendo 168 vulnerabilidades en múltiples productos, con un Zero-Day activamente explotado en SharePoint (CVE-2026-32201). También se destaca una vulnerabilidad pública en Microsoft Defender (CVE-2026-33825) y varias fallas críticas de ejecución remota de código (RCE) en componentes clave como Windows TCP/IP y Active Directory, afectando la confidencialidad, integridad y disponibilidad. CVE y severidad CVE Descripción Severidad Explotación Producto/Componente CVE-2026-32201 Vulnerabilidad de suplantación en Microsoft SharePoint Server Crítica Explotación activa confirmada SharePoint Server CVE-2026-33825 Elevación de privilegios en Microsoft Defender Alta Divulgación pública, sin explotación activa reportada Microsoft Defender CVE-2026-33827 Ejecución remota…
Vulnerabilidad en Apache Tomcat (EncryptInterceptor) permite exposición de datos sensibles
Se ha identificado una vulnerabilidad de seguridad en Apache Tomcat que afecta al componente EncryptInterceptor, la cual permite a un atacante descifrar información sensible mediante un ataque criptográfico conocido como Padding Oracle. Esta vulnerabilidad podría permitir el acceso no autorizado a datos confidenciales, como cookies de sesión, comprometiendo la seguridad de las aplicaciones web desplegadas sobre este servidor. CVE y severidad CVE Severidad Componente afectado Descripción breve CVE-2026-29146 Importante EncryptInterceptor (modo CBC) Vulnerabilidad de padding oracle que permite descifrar tráfico interceptado mediante el uso de Cipher Block Chaining por defecto. CVE-2026-34486 Crítica EncryptInterceptor Error en parche que provoca bypass completo…
Vulnerabilidad crítica en Adobe Acrobat Reader con explotación activa
Adobe ha publicado actualizaciones de emergencia para corregir una vulnerabilidad crítica en Acrobat Reader que está siendo explotada activamente en entornos reales. Esta falla permite la ejecución remota de código malicioso, afectando a las instalaciones vulnerables del software. Se recomienda a los usuarios implementar las correcciones sin demora para minimizar riesgos. La vulnerabilidad identificada como CVE-2026-34621 consiste en un fallo de seguridad crítico del tipo Prototype Pollution (Polución de Prototipos) que reside en el motor de ejecución de JavaScript de Adobe Acrobat y Reader. Este tipo de vulnerabilidad permite que un atacante, mediante el uso de documentos PDF especialmente manipulados,…
Vulnerabilidad de alta severidad en React Server Components permite ataques DoS
Se ha identificado una vulnerabilidad de alta severidad en React Server Components que permite a atacantes remotos no autenticados provocar condiciones de denegación de servicio (DoS). El fallo puede ser explotado mediante el envío de solicitudes HTTP especialmente diseñadas, generando un consumo excesivo de recursos en el servidor backend y afectando la disponibilidad de aplicaciones web modernas. CVE y severidad ID Severidad Componentes afectados Vector de ataque Impacto CVE-2026-23869 Alta React Server Components (react-server-dom-*) Envío de múltiples solicitudes HTTP hacia endpoints de Server Functions Consumo excesivo de CPU, degradación del servicio y posible DoS Productos afectados Fabricante Producto Componentes Versiones…
Vulnerabilidad Crítica de Contraseña Predeterminada en Juniper vLWC Permite Control Total
Se ha identificado una vulnerabilidad crítica de contraseña predeterminada en los dispositivos Support Insights Virtual Lightweight Collector (vLWC) de Juniper que permite a atacantes sin autenticación obtener control administrativo total de los dispositivos afectados mediante red. Catalogada como CVE-2026-33784, cuenta con una puntuación CVSS 3.1 de 9.8/10 debido a la facilidad de explotación remota sin interacción del usuario ni acceso previo. CVE y severidad VE ID Severidad CVSS v3.1 Componente afectado Explotación conocida CVE-2026-33784 Crítica 9.8 Juniper vLWC (Support Insights Virtual Lightweight Collector) No reportada en producción Productos afectados Dispositivos Juniper vLWC con versiones anteriores a la 3.0.94 están vulnerables…
Falla en integración de Palo Alto Cortex con Teams expone información a atacantes
Palo Alto Networks publicó una actualización urgente para corregir una vulnerabilidad alta (CVE-2026-0234) en la integración de Microsoft Teams en Cortex XSOAR y Cortex XSIAM. La falla permite a atacantes no autorizados acceder y modificar datos sensibles mediante la falsificación de firmas criptográficas, sin necesidad de credenciales ni interacción del usuario. Esto compromete sistemas críticos de orquestación y automatización de respuestas a incidentes de seguridad. CVE y severidad CVE Descripción Puntaje base CVSS Severidad Afecta a Explotación conocida CVE-2026-0234 Verificación insuficiente de firma criptográfica en integración Microsoft Teams Cortex XSOAR y XSIAM 9.2 (base) / 7.2 (operacional) Crítica/Alta Microsoft Teams…