- Origen
- no especificado
- Resumen
- no especificado
- Enlace
- Ver noticia
Ene
22
IA Generativa on enero 22nd, 2026
| CVE | Vendor | Producto | Severidad | VAfectadas | Exploit |
|---|---|---|---|---|---|
| CVE-2021-27670 | appspace | Afectadoappspace Server | Se está explotando | No especificadas | Sí |
| CVE-2025-69762 | Tenda | AX3 Firmware | CRITICAL (9.8) | v16.03.12.11 | No |
| CVE-2025-69763 | Tenda | AX3 firmware | CRITICAL (9.8) | v16.03.12.11 | No |
| CVE-2025-69766 | Tenda | AfectadoAX3 firmware | CRITICAL (9.8) | v16.03.12.11 | No |
| CVE-2026-22822 | External Secrets | External Secrets Operator | CRITICAL (9.3) | desde 0.20.2 hasta antes de 1.2.0 | No |
| CVE-2026-23518 | Fleetdm | AfectadoFleet | CRÍTICA (9.3) | versiones anteriores a 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3 | No |
| CVE-2026-23524 | Laravel | AfectadoLaravel Reverb | CRITICAL (9.8) | versiones 1.6.3 y anteriores | No |
| CVE-2026-23966 | sm-crypto | sm-crypto JavaScript implementations of SM2, SM3, SM4 | CRITICAL (9.1) | versiones anteriores a 0.3.14 | No |
| CVE-2026-24002 | Grist Labs | Grist Spreadsheet Software | CRITICAL (9) | Versiones anteriores a 1.7.9 | No |
| CVE-2026-24042 | Appsmith | AfectadoAppsmith platform | CRITICAL (9.4) | versiones 1.94 y anteriores | No |
| CVE-2026-0920 | LA-Studio | AfectadoLA-Studio Element Kit para Elementor | CRITICAL (9.8) | todas las versiones hasta la 1.5.6.3 inclusive | No |
| CVE-2026-1331 | HAMASTAR Technology | AfectadoMeetingHub | CRITICAL (9.3) | No especificadas | No |
| CVE-2025-67684 | Quick.Cart | AfectadoQuick.Cart | CRÍTICA (9.4) | Versión 6.7 confirmada, otras versiones no confirmadas pero posiblemente vulnerables | No |
| CVE-2025-64097 | NervesHub | AfectadoNervesHub OTA firmware update service | CRÍTICA (9.5) | versiones desde 1.0.0 hasta antes de 2.3.0 | No |
| CVE-2026-23760 | SmarterTools | SmarterMail | CRITICAL (9.3) | versiones anteriores al build 9511 | Sí |
| CVE-2025-69764 | Tenda | AfectadoAX3 Router | CRITICAL (9.8) | Firmware v16.03.12.11 | No |
| CVE-2025-69828 | TMS Global Software | AfectadoTMS Management Console | CRITICAL (10) | v.6.3.7.27386.20250818 | Sí |
Enviar a un amigo:
📌 Resumen ejecutivo
- 52 noticias analizadas en este informe.
- Distribución: 0 críticas, 0 altas, 0 medias, 52 bajas/no relevantes.
- Fuentes principales: .
- Periodo analizado: no especificado – no especificado.
- Contenido ordenado por prioridad (1→4) y orientado a impacto, riesgo operativo y acciones recomendadas.
🗂️ Prioridad 4 (Baja / No relevante)
52
Enviar a un amigo:
📌 Resumen ejecutivo
- 54 noticias analizadas en este informe.
- Distribución: 22 críticas, 9 altas, 8 medias, 15 bajas/no relevantes.
- Fuentes principales: info@thehackernews.com (The Hacker News), noreply@blogger.com (Chema Alonso), SANS Internet Storm Center….
- Periodo analizado: no especificado – no especificado.
- Contenido ordenado por prioridad (1→4) y orientado a impacto, riesgo operativo y acciones recomendadas.
🚨 Prioridad 1 (Crítica)
22
Hackers vinculados a Corea del Norte atacan desarrolladores mediante proyectos maliciosos de VS Code
Tres fallos en el servidor Git MCP de Anthropic permiten acceso a archivos y ejecución de código
Hackers usan mensajes de LinkedIn para propagar malware RAT mediante DLL Sideloading
Enviar a un amigo:
Ene
21
IA Generativa on enero 21st, 2026
| CVE | Vendor | Producto | Severidad | VAfectadas | Exploit |
|---|---|---|---|---|---|
| CVE-2026-0905 | Google Chrome | CRITICAL (9.8) | versiones anteriores a 144.0.7559.59 | No | |
| CVE-2025-56005 | PLY | Python Lex-Yacc (PLY) library | CRITICAL (9.8) | versión 3.11 | Sí |
| CVE-2026-21962 | Oracle | AfectadoOracle HTTP Server, Oracle Weblogic Server Proxy Plug-in | CRITICAL (10) | 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 (la versión 12.2.1.4.0 afecta solo al plugin para IIS) | No |
| CVE-2026-21969 | Oracle | AfectadoOracle Agile Product Lifecycle Management for Process | CRITICAL (9.8) | version 6.2.4 | Sí |
| CVE-2025-15521 | Academy LMS | WordPress LMS Plugin for Complete eLearning Solution | CRÍTICA (9.8) | Todas las versiones hasta e incluyendo la 3.5.0 | No |
| CVE | CVE-2026-0905 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 20 ene 2026, 06:16 (hora de España) |
| Vendor | |
| Producto | Google Chrome |
| Versiones | versiones anteriores a 144.0.7559.59 |
| Exploit Públicos | No confirmados |
| Referencia | Google Chrome Release Notes |
| Descripción | Insuficiente aplicación de políticas en la red en Google Chrome antes de la versión 144.0.7559.59 permitió a un atacante que obtuvo un archivo de registro de red potencialmente obtener información sensible. (Severidad de seguridad de Chromium: Media) |
| Estrategia | Actualizar urgentemente a la versión 144.0.7559.59 o superior. Monitorizar accesos a archivos de registro de red y limitar acceso a personal autorizado para minimizar riesgo de exposición de información sensible. |
| CVE | CVE-2025-56005 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 20 ene 2026, 20:15 (hora de España) |
| Vendor | PLY |
| Producto | Python Lex-Yacc (PLY) library |
| Versiones | versión 3.11 |
| Exploit Públicos | Sí |
| Referencia | GitHub Advisory |
| Descripción | Una funcionalidad no documentada e insegura en la biblioteca PLY (Python Lex-Yacc) versión 3.11 permite la ejecución remota de código (RCE) mediante el parámetro picklefile en la función yacc(). Este parámetro acepta un archivo .pkl que es deserializado con pickle.load() sin validación. Debido a que pickle permite la ejecución de código embebido vía __reduce__(), un atacante puede lograr la ejecución de código enviando un archivo pickle malicioso. El parámetro no está mencionado en la documentación oficial ni en el repositorio de GitHub, pero está activo en la versión de PyPI, introduciendo un riesgo de puerta trasera furtiva y persistencia. |
| Estrategia | Actualizar inmediatamente PLY a una versión parcheada donde se haya eliminado o asegurado el parámetro picklefile. Mientras tanto, evitar uso de esta función en entornos expuestos y revisar aplicaciones para detectar posibles cargas de archivos .pkl no controladas. Implementar controles estrictos de validación y monitoreo para detectar intentos de explotación basados en archivos pickle maliciosos. |
| CVE | CVE-2026-21962 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 20 ene 2026, 23:15 (hora de España) |
| Fabricante | Oracle |
| Producto Afectado | Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in |
| Versiones Afectadas | 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 (la versión 12.2.1.4.0 afecta solo al plugin para IIS) |
| Exploit Públicos | No confirmados |
| Referencia | Oracle Security Alerts |
| Descripción | Vulnerabilidad en el Oracle HTTP Server y el plugin proxy de Oracle Weblogic Server para Apache HTTP Server e IIS. La vulnerabilidad es fácilmente explotable por un atacante no autenticado con acceso a la red vía HTTP que puede comprometer completamente el servidor afectado. Esto permite la creación, modificación o eliminación no autorizada de datos críticos, afectando gravemente la confidencialidad e integridad de los mismos. |
| Estrategia | Aplicar de inmediato los parches oficiales correspondientes a las versiones afectadas proporcionados por Oracle. Si es posible, restringir el acceso HTTP al servidor proxy y monitorizar activamente logs para detectar intentos de explotación. Esta vulnerabilidad requiere máxima prioridad debido a su alta severidad y facilidad de explotación remota sin autenticación. |
| CVE | CVE-2026-21969 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 20 ene 2026, 23:15 (hora de España) |
| Fabricante | Oracle |
| Producto Afectado | Oracle Agile Product Lifecycle Management for Process |
| Versiones Afectadas | version 6.2.4 |
| Exploit Públicos | Sí |
| Referencia | Alerta de seguridad Oracle Enero 2026 |
| Descripción | Vulnerabilidad en el producto Oracle Agile Product Lifecycle Management for Process de Oracle Supply Chain (componente: Supplier Portal). La versión afectada soportada es la 6.2.4. Vulnerabilidad fácilmente explotable que permite a un atacante no autenticado con acceso a la red via HTTP comprometer completamente el producto. Los ataques exitosos pueden resultar en la toma de control total del sistema, impactando confidencialidad, integridad y disponibilidad. CVSS 3.1 Base Score 9.8. |
| Estrategia | Aplicar de inmediato el parche oficial de Oracle para la versión 6.2.4. Restringir el acceso HTTP al componente afectado, implementar monitoreo de tráfico sospechoso y verificar la integridad del sistema para detectar compromisos. Priorizar esta vulnerabilidad por su alta criticidad y disponibilidad de exploits públicos. |
| CVE | CVE-2025-15521 |
| Severidad | CRÍTICA (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 21 ene 2026, 03:15 (hora de España) |
| Vendor | Academy LMS |
| Producto | WordPress LMS Plugin for Complete eLearning Solution |
| Versiones | Todas las versiones hasta e incluyendo la 3.5.0 |
| Exploit Públicos | No confirmados |
| Referencia | Código fuente vulnerable |
| Descripción | El plugin Academy LMS – WordPress LMS Plugin para Complete eLearning Solution es vulnerable a una escalada de privilegios mediante la toma de control de cuentas en todas las versiones hasta la 3.5.0 inclusive. Esto se debe a que el plugin no valida correctamente la identidad del usuario antes de actualizar su contraseña y se basa únicamente en un nonce públicamente expuesto para la autorización. Esto permite a un atacante no autenticado cambiar la contraseña de cualquier usuario, incluidos los administradores, y acceder a sus cuentas. |
| Estrategia | Actualizar inmediatamente el plugin a una versión parcheada que corrija esta vulnerabilidad. En caso de no haber parche, restringir el acceso a la administración y monitorear intentos de explotación. Implementar controles adicionales de validación y autorización para cambios críticos de cuenta, y auditar accesos para detectar compromisos. |
Enviar a un amigo:
📌 Resumen ejecutivo
- 36 noticias analizadas en este informe.
- Distribución: 14 críticas, 9 altas, 3 medias, 10 bajas/no relevantes.
- Fuentes principales: info@thehackernews.com (The Hacker News), noreply@blogger.com (Chema Alonso), SANS Internet Storm Center….
- Periodo analizado: no especificado – no especificado.
- Contenido ordenado por prioridad (1→4) y orientado a impacto, riesgo operativo y acciones recomendadas.
🚨 Prioridad 1 (Crítica)
14
Falla de inyección de comandos en Google Gemini expuso datos privados de calendarios mediante invitaciones maliciosas
⚡ Weekly Recap: Fortinet Exploits, RedLine Clipjack, NTLM Crack, Copilot Attack & More
Nueva vulnerabilidad de hardware StackWarp rompe las protecciones AMD SEV-SNP en CPUs Zen 1–5
Enviar a un amigo:
Ene
20
IA Generativa on enero 20th, 2026
| CVE | Vendor | Producto | Severidad | VAfectadas | Exploit |
|---|---|---|---|---|---|
| CVE-2026-23839 | leepeuker (desarrollador de Movary) | AfectadoMovary (aplicación web para seguimiento de películas) | CRÍTICA (9.3) | versiones anteriores a 0.70.0 | No |
| CVE-2026-23840 | leepeuker | Movary | CRITICAL (9.3) | versiones anteriores a 0.70.0 | No |
| CVE-2026-23841 | leepeuker | AfectadoMovary | CRITICAL (9.3) | versiones anteriores a 0.70.0 | No |
| CVE-2026-23837 | Frankli Oxygen (MyTube) | MyTube (Self-hosted video downloader and player) | CRITICAL (9.8) | 1.7.65 y versiones potencialmente anteriores | No |
| CVE | CVE-2026-23839 |
| Severidad | CRÍTICA (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 19 ene 2026, 20:16 (hora de España) |
| Vendor | leepeuker (desarrollador de Movary) |
| Producto Afectado | Movary (aplicación web para seguimiento de películas) |
| Versiones Afectadas | versiones anteriores a 0.70.0 |
| Exploit Públicos | No se ha confirmado |
| Referencia | Github Advisory |
| Descripción | Movary es una aplicación web para rastrear, calificar y explorar el historial de visualización de películas. Debido a una validación insuficiente de entradas, atacantes pueden ejecutar cargas útiles de cross-site scripting (XSS) en la versión afectada mediante el parámetro vulnerable `?categoryUpdated=`. La versión 0.70.0 corrige la vulnerabilidad. |
| Estrategia | Actualizar de inmediato Movary a la versión 0.70.0 o superior donde se corrige esta validación. Además, implementar controles de saneamiento y escape de entradas en los parámetros de URL para prevenir posibles vectores XSS futuros. Monitorizar actividad sospechosa que pueda indicar explotación activa. |
| CVE | CVE-2026-23840 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 19 ene 2026, 20:16 (hora de España) |
| Vendor | leepeuker |
| Producto | Movary |
| Versiones | versiones anteriores a 0.70.0 |
| Exploit Públicos | No confirmados |
| Referencia | GitHub advisory |
| Descripción | Movary es una aplicación web para rastrear, calificar y explorar tu historial de películas vistas. Debido a una validación insuficiente de entradas, los atacantes pueden desencadenar cargas útiles de cross-site scripting (XSS) en versiones anteriores a la 0.70.0. El parámetro vulnerable es ?categoryDeleted=. La versión 0.70.0 corrige el problema. |
| Estrategia | Actualizar inmediatamente Movary a la versión 0.70.0 o superior. Validar y sanear estrictamente todos los parámetros de entrada, particularmente ?categoryDeleted=. Monitorizar la actividad en la aplicación para detectar intentos de explotación XSS. |
| CVE | CVE-2026-23841 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 19 ene 2026, 20:16 (hora de España) |
| Fabricante | leepeuker |
| Producto Afectado | Movary |
| Versiones Afectadas | versiones anteriores a 0.70.0 |
| Exploit Públicos | No confirmados |
| Referencia | GitHub Movary 0.70.0 Release |
| Descripción | Movary es una aplicación web para rastrear, valorar y explorar el historial de visualización de películas. Debido a una validación insuficiente de entradas, los atacantes pueden activar cargas útiles de cross-site scripting (XSS) usando el parámetro vulnerable ?categoryCreated= en versiones anteriores a 0.70.0. Este ataque permite la ejecución de código malicioso en el navegador de otros usuarios. |
| Estrategia | Actualizar inmediatamente a la versión 0.70.0 o superior para eliminar la vulnerabilidad. Reforzar además la validación y saneamiento de todos los parámetros de entrada en la aplicación web para prevenir futuros ataques XSS. Monitorizar eventos anómalos en las interfaces web afectadas para detectar intentos de explotación. |
| CVE | CVE-2026-23837 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 19 ene 2026, 22:15 (hora de España) |
| Vendor | Frankli Oxygen (MyTube) |
| Producto | MyTube (Self-hosted video downloader and player) |
| Versiones | 1.7.65 y versiones potencialmente anteriores |
| Exploit Públicos | No reportados |
| Referencia | GitHub Commit Fix |
| Descripción | MyTube es un programa autohospedado para descargar y reproducir vídeos de varios sitios web. Una vulnerabilidad en la versión 1.7.65 y posiblemente versiones anteriores permite a usuarios no autenticados saltarse la verificación obligatoria de autenticación en el middleware roleBasedAuthMiddleware. Si no se proporciona una cookie de autenticación (haciendo que req.user sea indefinido), la solicitud pasa incorrectamente a los manejadores posteriores. Esto impacta a todos los usuarios con loginEnabled: true y permite a atacantes acceder y modificar configuraciones de la aplicación vía /api/settings, cambiar contraseñas administrativas y de visitantes, y acceder a rutas protegidas basadas en este middleware. |
| Estrategia | Actualizar urgentemente a la versión 1.7.66 o superior. Como mitigación temporal, restringir acceso a endpoints /api/ mediante firewall o proxy inverso (ej. Nginx) para permitir sólo IPs confiables. Si es posible, parchear manualmente roleBasedAuthMiddleware para que las solicitudes sin usuario autenticado generen error 401 en lugar de continuar. |
Enviar a un amigo:
📌 Resumen ejecutivo
- 5 noticias analizadas en este informe.
- Distribución: 1 críticas, 2 altas, 0 medias, 2 bajas/no relevantes.
- Fuentes principales: Troy Hunt, Mayank Parmar, Lawrence Abrams….
- Periodo analizado: no especificado – no especificado.
- Contenido ordenado por prioridad (1→4) y orientado a impacto, riesgo operativo y acciones recomendadas.
🚨 Prioridad 1 (Crítica)
1
CIRO confirma brecha de datos que expuso información de 750,000 inversores canadienses
⚠️ Prioridad 2 (Alta)
2
Microsoft lanza actualizaciones fuera de banda para corregir fallos en apagado y Cloud PC
Predicciones clave de CISOs del Sudeste Asiático para 2026: Seguridad en IA, identidad como perímetro activo y resiliencia estratégica
Enviar a un amigo:
📌 Resumen ejecutivo
- 7 noticias analizadas en este informe.
- Distribución: 2 críticas, 3 altas, 0 medias, 2 bajas/no relevantes.
- Fuentes principales: info@thehackernews.com (The Hacker News), Wireshark Project, Mayank Parmar….
- Periodo analizado: no especificado – no especificado.
- Contenido ordenado por prioridad (1→4) y orientado a impacto, riesgo operativo y acciones recomendadas.
🚨 Prioridad 1 (Crítica)
2
Líder del ransomware Black Basta añadido a la lista de los más buscados de la UE y a la Notificación Roja de INTERPOL
Extensiones maliciosas de Chrome roban credenciales en plataformas empresariales de RRHH
⚠️ Prioridad 2 (Alta)
3
Wireshark 4.6.3 lanzado con corrección de 4 vulnerabilidades y 9 errores
Enviar a un amigo:
Ene
18
IA Generativa on enero 18th, 2026
| CVE | Vendor | Producto | Severidad | VAfectadas | Exploit |
|---|---|---|---|---|---|
| CVE-2019-25297 | Opinion Stage | AfectadoPoll, Survey & Quiz Maker Plugin | Se está explotando | No especificadas explícitamente | Sí |
| CVE-2025-10484 | WooCommerce | Registration & Login with Mobile Phone Number for WooCommerce plugin para WordPress | CRITICAL (9.8) | Todas las versiones hasta e incluyendo la 1.3.1 | No |
| CVE | CVE-2019-25297 |
| Severidad | Se está explotando |
| Importancia para la empresa | ALTA |
| Publicado | 2019 |
| Fabricante | Opinion Stage |
| Producto Afectado | Poll, Survey & Quiz Maker Plugin |
| Versiones Afectadas | No especificadas explícitamente |
| Exploit Públicos | Sí, existen pruebas de explotación activa |
| Referencia | CVE-2019-25297 Vulncheck |
| Descripción | Vulnerabilidad de Neutralización Inadecuada de Entrada durante la Generación de Páginas Web (‘Cross-site Scripting’) en el plugin Poll, Survey & Quiz Maker de Opinion Stage, que permite a atacantes inyectar scripts maliciosos. Esto puede ser explotado para ejecutar código malicioso en navegadores de usuarios, comprometiendo la confidencialidad e integridad de la información. |
| Estrategia | Actualizar inmediatamente el plugin a la versión que corrige esta vulnerabilidad. Si el parche no está disponible, desactivar el plugin afectado para evitar explotación. Implementar controles de validación y escape estricto de entradas en las interfaces web y monitorizar activamente intentos de explotación para detectar ataques en curso. |
| CVE | CVE-2025-10484 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | sáb, 17 ene 2026, 10:15 (hora de España) |
| Vendor | WooCommerce |
| Producto | Registration & Login with Mobile Phone Number for WooCommerce plugin para WordPress |
| Versiones | Todas las versiones hasta e incluyendo la 1.3.1 |
| Exploit Públicos | No confirmados |
| Referencia | Sitio oficial del plugin |
| Descripción | El plugin Registration & Login with Mobile Phone Number para WooCommerce en WordPress es vulnerable a una omisión de autenticación en todas las versiones hasta la 1.3.1 inclusive. Esto se debe a que el plugin no verifica correctamente la identidad del usuario antes de autenticarlo mediante la función fma_lwp_set_session_php_fun(). Esto permite que atacantes no autenticados se autentiquen como cualquier usuario del sitio, incluidos administradores, sin necesidad de una contraseña válida. |
| Impacto | Esta vulnerabilidad permite acceso completo no autorizado, lo que puede provocar compromisos críticos en la integridad y confidencialidad de los datos del sitio web, facilitando el control total por parte de atacantes. |
| Estrategia | Actualizar inmediatamente el plugin a una versión parcheada superior a la 1.3.1 cuando esté disponible. Mientras tanto, restringir el uso del plugin o implementar controles adicionales de autenticación y monitorización de accesos para detectar intentos de explotación. |
Enviar a un amigo:
📌 Resumen ejecutivo
- 39 noticias analizadas en este informe.
- Distribución: 15 críticas, 6 altas, 5 medias, 13 bajas/no relevantes.
- Fuentes principales: info@thehackernews.com (The Hacker News), Troy Hunt, Randy Stone….
- Periodo analizado: no especificado – no especificado.
- Contenido ordenado por prioridad (1→4) y orientado a impacto, riesgo operativo y acciones recomendadas.
🚨 Prioridad 1 (Crítica)
15
Cinco extensiones maliciosas de Chrome se hacen pasar por Workday y NetSuite para secuestrar cuentas
Puerta trasera LOTUSLITE apunta a entidades políticas de EE.UU. usando phishing dirigido con temática venezolana
China-Linked APT Exploited Sitecore Zero-Day in Critical Infrastructure Intrusions
Enviar a un amigo:
