Broadcom ha reportado tres vulnerabilidades de Cross-Site Scripting almacenadas (XSS) en VMware Cloud Foundation Operations y productos asociados de Broadcom, permitiendo a atacantes autenticados inyectar scripts maliciosos para realizar acciones administrativas. Identificadas como CVE-2026-41722, CVE-2026-41723 y CVE-2026-41724, con una puntuación Leer más …
Vulnerabilidad en Cisco Catalyst SD-WAN Manager permite ejecución remota con privilegios root
Cisco ha reportado una vulnerabilidad de alta severidad en Catalyst SD-WAN Manager que está siendo explotada activamente, permitiendo la ejecución remota de comandos arbitrarios con privilegios root. La falla, identificada como CVE-2026-20245, se debe a una validación insuficiente de entradas Leer más …
Explotación remota HTTP/2 Bomb afecta servidores web populares
Una nueva vulnerabilidad de denegación de servicio remoto, denominada «HTTP/2 Bomb», afecta las configuraciones predeterminadas de HTTP/2 en servidores web ampliamente usados como nginx, Apache httpd, Microsoft IIS, Envoy y Cloudflare Pingora. Este exploit permite a un atacante remotamente consumir Leer más …
Vulnerabilidad alta en Claude Code GitHub Actions permite comprometer repositorios mediante ataque a la cadena de suministro
Se identificó una vulnerabilidad alta de cadena de suministro en el flujo de trabajo oficial CI/CD de Anthropic para Claude Code en GitHub Actions. Un atacante externo no autenticado podía comprometer cualquier repositorio que dependiera de este workflow — incluyendo Leer más …
Vulnerabilidad crítica en PAN-OS de Palo Alto Networks permite bypass de autenticación y acceso VPN no autorizado
Se ha incluido una vulnerabilidad crítica en PAN-OS de Palo Alto Networks en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), debido a su uso activo en ataques reales. Esta falla permite a atacantes remotos evadir mecanismos de autenticación y obtener Leer más …
Vulnerabilidad crítica en chatbot de IA de Meta permite secuestro de cuentas Instagram
Una grave falla lógica en el chatbot de soporte impulsado por IA de Meta para Instagram permitió a atacantes eludir completamente la autenticación en dos pasos sin necesidad de códigos, mediante solicitudes directas al asistente. Este vector habilitó el secuestro Leer más …
Vulnerabilidad crítica RCE en Windows Netlogon explotada activamente
Se ha detectado una explotación activa de la vulnerabilidad crítica de ejecución remota de código (RCE) en Windows Netlogon, identificada como CVE-2026-41089. Esta falla afecta los controladores de dominio de Windows Server, permitiendo a atacantes remotos no autenticados ejecutar código Leer más …
Actualizaciones urgentes de seguridad en GitLab por vulnerabilidades en Duo AI, DoS y autorización
GitLab ha publicado actualizaciones de seguridad de emergencia para las ediciones Community y Enterprise, corrigiendo múltiples fallas relacionadas con Duo AI, denegación de servicio y autorización en versiones recientes. La falla más crítica permite la ejecución de flujos Duo AI Leer más …
Google corrige 151 vulnerabilidades en Chrome, incluyendo 22 críticas
Google ha lanzado una actualización importante para Chrome Stable que soluciona 151 fallos de seguridad, de los cuales 22 son críticas. Estas vulnerabilidades afectan componentes centrales como gráficos, redes, multimedia y la interfaz de usuario en Windows, macOS y Linux, Leer más …
Ransomware The Gentlemen utiliza tareas programadas con privilegios SYSTEM para cifrar sistemas y propagarse de forma automática en la red
Investigadores de seguridad (Microsoft Threat Intelligence) han analizado una variante del ransomware The Gentlemen, desarrollada en lenguaje Go y ofuscada mediante la herramienta Garble, que destaca por crear tareas programadas de Windows para ejecutar el proceso de cifrado con privilegios Leer más …