Vulnerabilidad crítica en FortiSandbox permite ejecución remota de comandos sin autenticación
Fortinet ha revelado una vulnerabilidad crítica en su línea de productos FortiSandbox que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios del sistema operativo a través de la interfaz web. Clasificada como CVE-2026-25089 con una puntuación CVSSv3 de 9.1, afecta múltiples versiones de FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS. La explotación exitosa puede comprometer la confidencialidad, integridad y disponibilidad del sistema afectado. CVE y severidad CVE CVSSv3 Severidad Componente Estado de explotación CVE-2026-25089 9.1 (Crítico) Crítica Interfaz Web de FortiSandbox (inyección de comandos OS – CWE-78) No reportada en estado activo Productos afectados Producto Versiones afectadas Acción recomendada FortiSandbox…
Actualización de seguridad en Google Chrome corrige vulnerabilidad zero-day en motor V8
Google ha publicado una actualización de emergencia para Chrome que corrige una vulnerabilidad de tipo out-of-bounds (lectura y escritura fuera de límites) en el motor JavaScript V8, identificada como CVE-2026-11645 con un puntaje CVSS de 8.8 (Alta). La vulnerabilidad tiene explotación activa confirmada, lo que eleva su prioridad de atención al nivel crítico operacional. CVE y severidad CVE Fecha de parcheo Componente Tipo de vulnerabilidad Versión fija Explotación conocida Severidad CVE-2026-11645 9 de junio de 2026 V8 (motor JavaScript) Lectura y escritura fuera de límites 149.0.7827.102/.103 Sí, explotación activa confirmada Alta Productos afectados Producto Versiones afectadas Plataformas / Sistemas Operativos…
Vulnerabilidad Use-After-Free en nftables del Kernel Linux permite escalada de privilegios
Se ha divulgado una vulnerabilidad de tipo Use-After-Free en el subsistema nftables del Kernel Linux, identificada como CVE-2026-23111, que puede permitir a usuarios locales sin privilegios obtener privilegios de root en sistemas afectados. La falla se origina en el manejo interno de elementos catchall dentro de nftables y puede ser explotada para comprometer completamente el sistema operativo. Los investigadores han publicado un método de explotación funcional con una alta tasa de éxito en entornos de prueba. Impacto La explotación exitosa de esta vulnerabilidad puede permitir: CVE y severidad ID CVE Componente afectado Impacto Estado de explotación CVE-2026-23111 Subsistema nftables del…
Omisión de autenticación en Check Point Remote Access VPN y Mobile Access mediante IKEv1
Check Point informó una vulnerabilidad crítica que afecta implementaciones de Remote Access VPN y Mobile Access configuradas con el protocolo de intercambio de claves IKEv1, considerado obsoleto. La falla permite que un atacante remoto no autenticado omita la autenticación de usuario y establezca una conexión VPN de acceso remoto sin contar con una contraseña válida. Se reportó explotación activa desde junio de 2026, con indicios de actividad previa observada desde mayo de 2026 CVE y severidad La vulnerabilidad corresponde a una debilidad de flujo lógico en la validación de certificados de Remote Access y Mobile Access cuando se utiliza el…
Google lanza parche masivo para Chrome que corrige 429 vulnerabilidades
Google ha lanzado la versión estable 149.0.7827.x de Chrome, corrigiendo 429 vulnerabilidades, de las cuales 22 están clasificadas como críticas y afectan componentes esenciales como gráficos, GPU y motor del navegador en Windows, macOS, Linux y Chrome para iOS. Estas fallas incluyen condiciones use-after-free y desbordamientos, que podrían permitir ejecución remota de código, elevación de privilegios y escapes de sandbox, aumentando el riesgo especialmente en entornos empresariales con múltiples dispositivos. CVE y severidad CVE ID Componente Clase de fallo CVE-2026-10881 ANGLE Lectura/Escritura fuera de límites CVE-2026-10882 Network Use-after-free CVE-2026-10883 ANGLE Escritura fuera de límites CVE-2026-10884 Chromecast Use-after-free CVE-2026-10885 Chrome para…
Vulnerabilidades XSS almacenadas en VMware Cloud Foundation Operations y productos relacionados de Broadcom
Broadcom ha reportado tres vulnerabilidades de Cross-Site Scripting almacenadas (XSS) en VMware Cloud Foundation Operations y productos asociados de Broadcom, permitiendo a atacantes autenticados inyectar scripts maliciosos para realizar acciones administrativas. Identificadas como CVE-2026-41722, CVE-2026-41723 y CVE-2026-41724, con una puntuación CVSSv3 base de 8.0, estas fallas requieren que los atacantes tengan privilegios para crear políticas o widgets. La persistencia del código malicioso incrementa el riesgo en plataformas de infraestructura virtualizada. CVE y severidad CVE-2026-41722: Stored XSS en VMware Cloud Foundation Operations y productos relacionados, CVSSv3 base score 8.0, severidad importante. CVE-2026-41723: Stored XSS con impacto similar, CVSSv3 base score 8.0,…
Vulnerabilidad en Cisco Catalyst SD-WAN Manager permite ejecución remota con privilegios root
Cisco ha reportado una vulnerabilidad de alta severidad en Catalyst SD-WAN Manager que está siendo explotada activamente, permitiendo la ejecución remota de comandos arbitrarios con privilegios root. La falla, identificada como CVE-2026-20245, se debe a una validación insuficiente de entradas en la interfaz de línea de comandos, siendo explotable mediante carga de archivos maliciosos por un atacante autenticado con permisos de nivel netadmin. Esta vulnerabilidad compromete plenamente la gestión SD-WAN y puede afectar dispositivos conectados. CVE y severidad CVE CVSS Base Severidad Componente afectado Explotación conocida CVE-2026-20245 7.8 Alta Interfaz de línea de comandos – validación insuficiente de entrada durante…
Explotación remota HTTP/2 Bomb afecta servidores web populares
Una nueva vulnerabilidad de denegación de servicio remoto, denominada «HTTP/2 Bomb», afecta las configuraciones predeterminadas de HTTP/2 en servidores web ampliamente usados como nginx, Apache httpd, Microsoft IIS, Envoy y Cloudflare Pingora. Este exploit permite a un atacante remotamente consumir decenas de gigabytes de memoria del servidor en segundos mediante la combinación inédita de una bomba de compresión HPACK y una técnica de retención tipo Slowloris, impactando la disponibilidad del servicio. CVE y severidad CVE Descripción Fecha de asignación CVE-2026-49975 Vulnerabilidad en Apache httpd que permite una amplificación masiva de memoria mediante manipulación de la compresión de encabezados HTTP/2. 27…
Vulnerabilidad alta en Claude Code GitHub Actions permite comprometer repositorios mediante ataque a la cadena de suministro
Se identificó una vulnerabilidad alta de cadena de suministro en el flujo de trabajo oficial CI/CD de Anthropic para Claude Code en GitHub Actions. Un atacante externo no autenticado podía comprometer cualquier repositorio que dependiera de este workflow — incluyendo la propia infraestructura de Anthropic — mediante la combinación de un bypass de permisos y técnicas de prompt injection. Productos afectados Fabricante Producto Componente Versiones afectadas Anthropic Claude Code GitHub Actions Workflow CI/CD v1.0.93 y anteriores Solución Actualizar a Claude Code GitHub Actions versión 1.0.94 o posterior. Recomendaciones Auditar todos los flujos de trabajo que utilicen la configuración allowed_non_write_users, restringir…
Vulnerabilidad crítica en PAN-OS de Palo Alto Networks permite bypass de autenticación y acceso VPN no autorizado
Se ha incluido una vulnerabilidad crítica en PAN-OS de Palo Alto Networks en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), debido a su uso activo en ataques reales. Esta falla permite a atacantes remotos evadir mecanismos de autenticación y obtener acceso no autorizado vía VPN, comprometiendo la seguridad perimetral y permitiendo movimientos laterales dentro de la red. CVE y severidad CVE CWE Tipo Status de explotación CVE-2026-0257 CWE-565 (Bypass de autenticación) Bypass de autenticación remoto Explotación activa confirmada Productos afectados La vulnerabilidad afecta a PAN-OS, el sistema operativo que ejecuta los firewalls de Palo Alto Networks, incluyendo componentes que gestionan…