| CVE | Vendor | Producto | Severidad | VAfectadas | Exploit |
|---|---|---|---|---|---|
| CVE-2021-27670 | appspace | Afectadoappspace Server | Se está explotando | No especificadas | Sí |
| CVE-2025-69762 | Tenda | AX3 Firmware | CRITICAL (9.8) | v16.03.12.11 | No |
| CVE-2025-69763 | Tenda | AX3 firmware | CRITICAL (9.8) | v16.03.12.11 | No |
| CVE-2025-69766 | Tenda | AfectadoAX3 firmware | CRITICAL (9.8) | v16.03.12.11 | No |
| CVE-2026-22822 | External Secrets | External Secrets Operator | CRITICAL (9.3) | desde 0.20.2 hasta antes de 1.2.0 | No |
| CVE-2026-23518 | Fleetdm | AfectadoFleet | CRÍTICA (9.3) | versiones anteriores a 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3 | No |
| CVE-2026-23524 | Laravel | AfectadoLaravel Reverb | CRITICAL (9.8) | versiones 1.6.3 y anteriores | No |
| CVE-2026-23966 | sm-crypto | sm-crypto JavaScript implementations of SM2, SM3, SM4 | CRITICAL (9.1) | versiones anteriores a 0.3.14 | No |
| CVE-2026-24002 | Grist Labs | Grist Spreadsheet Software | CRITICAL (9) | Versiones anteriores a 1.7.9 | No |
| CVE-2026-24042 | Appsmith | AfectadoAppsmith platform | CRITICAL (9.4) | versiones 1.94 y anteriores | No |
| CVE-2026-0920 | LA-Studio | AfectadoLA-Studio Element Kit para Elementor | CRITICAL (9.8) | todas las versiones hasta la 1.5.6.3 inclusive | No |
| CVE-2026-1331 | HAMASTAR Technology | AfectadoMeetingHub | CRITICAL (9.3) | No especificadas | No |
| CVE-2025-67684 | Quick.Cart | AfectadoQuick.Cart | CRÍTICA (9.4) | Versión 6.7 confirmada, otras versiones no confirmadas pero posiblemente vulnerables | No |
| CVE-2025-64097 | NervesHub | AfectadoNervesHub OTA firmware update service | CRÍTICA (9.5) | versiones desde 1.0.0 hasta antes de 2.3.0 | No |
| CVE-2026-23760 | SmarterTools | SmarterMail | CRITICAL (9.3) | versiones anteriores al build 9511 | Sí |
| CVE-2025-69764 | Tenda | AfectadoAX3 Router | CRITICAL (9.8) | Firmware v16.03.12.11 | No |
| CVE-2025-69828 | TMS Global Software | AfectadoTMS Management Console | CRITICAL (10) | v.6.3.7.27386.20250818 | Sí |
| CVE | CVE-2021-27670 |
| Severidad | Se está explotando |
| Importancia para la empresa | ALTA |
| Publicado | 23 de marzo de 2021 |
| Fabricante | appspace |
| Producto Afectado | appspace Server |
| Versiones Afectadas | No especificadas |
| Exploit Públicos | Sí |
| Referencia | Detalles CVE KEV FAQ KEV |
| Descripción | La vulnerabilidad SSRF (Server-Side Request Forgery) en appspace Server permite que los atacantes obliguen al servidor a realizar solicitudes HTTP a dominios arbitrarios. Esto puede ser explotado para acceder a recursos internos protegidos, realizar acciones no autorizadas o filtrar información sensible del entorno de la red interna. |
| Estrategia | Actualizar appspace Server a la última versión que incluya el parche oficial para esta vulnerabilidad. Implementar controles de validación restrictiva en las peticiones HTTP desde el servidor para evitar solicitudes no autorizadas. Monitorizar el tráfico de red para detectar patrones anómalos indicativos de explotación SSRF. |
| CVE | CVE-2025-69762 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 21 ene 2026, 19:16 (hora de España) |
| Vendor | Tenda |
| Producto | AX3 Firmware |
| Versiones | v16.03.12.11 |
| Exploit Públicos | No confirmados |
| Referencia | Fuente oficial de la vulnerabilidad |
| Descripción | El firmware Tenda AX3 versión v16.03.12.11 contiene un desbordamiento de pila en la función formSetIptv mediante el parámetro list, lo que puede causar corrupción de memoria y permitir la ejecución remota de código. |
| Estrategia | Actualizar inmediatamente el firmware a la versión más reciente que corrija esta vulnerabilidad. Mientras tanto, restringir el acceso a la interfaz vulnerable solo a usuarios y redes confiables y monitorizar actividad inusual para detectar posibles intentos de explotación. |
| CVE | CVE-2025-69763 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 21 ene 2026, 19:16 (hora de España) |
| Vendor | Tenda |
| Producto | AX3 firmware |
| Versiones | v16.03.12.11 |
| Exploit Públicos | No confirmado |
| Referencia | Más información |
| Descripción | El firmware Tenda AX3 versión 16.03.12.11 contiene un desbordamiento de pila en formSetIptv a través del parámetro vlanId, que puede causar corrupción de memoria y permitir la ejecución remota de código.
Esta vulnerabilidad crítica puede ser explotada remotamente para ejecutar código arbitrario, comprometiendo completamente el dispositivo afectado y poniendo en riesgo la infraestructura de red de la empresa. |
| Estrategia | Actualizar inmediatamente el firmware Tenda AX3 a una versión parcheada que corrija esta falla. Mientras tanto, restringir el acceso remoto al dispositivo y monitorizar tráfico inusual que pueda indicar intentos de explotación de esta vulnerabilidad. |
| CVE | CVE-2025-69766 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 21 ene 2026, 19:16 (hora de España) |
| Fabricante | Tenda |
| Producto Afectado | AX3 firmware |
| Versiones Afectadas | v16.03.12.11 |
| Exploit Públicos | No confirmado |
| Referencia | Detalle de vulnerabilidad |
| Descripción | El firmware Tenda AX3 versión 16.03.12.11 contiene un desbordamiento de búfer basado en pila en la función formGetIptv debido a un manejo incorrecto del búfer de pila citytag, lo que puede resultar en corrupción de memoria y ejecución remota de código. |
| Estrategia | Actualizar urgentemente el firmware Tenda AX3 a una versión parcheada. Mientras tanto, limitar el acceso remoto a los dispositivos afectados y monitorizar intentos de explotación activa para mitigar riesgos de ejecución de código arbitrario remota. |
| CVE | CVE-2026-22822 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 21 ene 2026, 23:15 (hora de España) |
| Vendor | External Secrets |
| Producto | External Secrets Operator |
| Versiones | desde 0.20.2 hasta antes de 1.2.0 |
| Exploit Públicos | No confirmados |
| Referencia | GitHub Commit]</td |
| Descripción | El operador External Secrets lee información de un servicio externo e inyecta automáticamente los valores como secretos de Kubernetes. Entre las versiones 0.20.2 y antes de la 1.2.0, la función de plantilla `getSecretKey` — introducida para el proveedor senhasegura Devops Secrets Management (DSM) — permite obtener secretos entre distintos namespaces usando el roleBinding del controlador external-secrets, eludiendo mecanismos de seguridad. Esta función fue completamente eliminada en la versión 1.2.0, ya que todas las funcionalidades se pueden realizar respetando las salvaguardas del operador. Se recomienda usar un motor de políticas como Kubernetes, Kyverno, Kubewarden o OPA para impedir el uso de `getSecretKey` en cualquier recurso ExternalSecret. |
| Estrategia | Actualizar inmediatamente a la versión 1.2.0 o superior que elimina la función vulnerable `getSecretKey`. Mientras se actualiza, aplicar políticas restrictivas con herramientas como Kyverno, Kubewarden o OPA para bloquear el uso de esta función en ExternalSecret. Monitorizar el entorno Kubernetes por accesos anómalos o intentos de explotación cruzada de namespaces. |
| CVE | CVE-2026-23518 |
| Severidad | CRÍTICA (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 21 ene 2026, 23:15 (hora de España) |
| Fabricante | Fleetdm |
| Producto Afectado | Fleet |
| Versiones Afectadas | versiones anteriores a 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3 |
| Exploit Públicos | No confirmados |
| Referencia | GitHub Commit</td |
| Descripción | Fleet es un software open source para gestión de dispositivos. En versiones anteriores a 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3 existe una vulnerabilidad en el flujo de inscripción MDM de Windows que permite a un atacante enviar tokens de autenticación falsificados que no son validados correctamente. Debido a que las firmas JWT no se verificaban, Fleet podría aceptar claims de identidad controlados por el atacante, permitiendo la inscripción de dispositivos no autorizados bajo identidades arbitrarias de Azure AD. Las versiones 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3 corrigen este problema. Si no es posible una actualización inmediata, los usuarios afectados deben deshabilitar temporalmente Windows MDM. |
| Estrategia | Actualizar urgentemente Fleet a las versiones corregidas para evitar que un atacante pueda registrar dispositivos no autorizados mediante tokens falsificados en el flujo MDM de Windows. En caso de imposibilidad de actualización inmediata, deshabilitar temporalmente la inscripción MDM de Windows para eliminar el vector de ataque. Monitorizar intentos de inscripciones sospechosas para detectar explotación activa. |
| CVE | CVE-2026-23524 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 21 ene 2026, 23:15 (hora de España) |
| Fabricante | Laravel |
| Producto Afectado | Laravel Reverb |
| Versiones Afectadas | versiones 1.6.3 y anteriores |
| Exploit Públicos | No confirmado |
| Referencia | CWE-502: Deserialización insegura</td |
| Descripción | Laravel Reverb proporciona un backend de comunicación WebSocket en tiempo real para aplicaciones Laravel. En versiones 1.6.3 y anteriores, Reverb pasa datos del canal Redis directamente a la función PHP unserialize() sin restringir qué clases se pueden instanciar, exponiendo a los usuarios a Ejecución Remota de Código (RCE). La explotación es facilitada porque los servidores Redis suelen desplegarse sin autenticación, pero este fallo solo afecta a Laravel Reverb cuando el escalado horizontal está habilitado (REVERB_SCALING_ENABLED=true). Este problema se corrigió en la versión 1.7.0. Como solución temporal, es recomendable requerir una contraseña fuerte para el acceso a Redis, restringir el acceso solo a redes privadas o loopback local, y/o desactivar REVERB_SCALING_ENABLED si se usa un único nodo Reverb. |
| Estrategia | Actualizar inmediatamente a la versión 1.7.0 o superior para eliminar la vulnerabilidad. Si la actualización no es posible de inmediato, proteger el acceso a Redis mediante contraseña fuerte y restringir su acceso a redes privadas o al localhost. Además, desactivar la opción REVERB_SCALING_ENABLED si solo se usa un nodo Reverb para evitar el código vulnerable. Monitorizar activamente el sistema para detectar posibles intentos de explotación dado el riesgo de Ejecución Remota de Código. |
| CVE | CVE-2026-23966 |
| Severidad | CRITICAL (9.1) |
| Importancia para la empresa | ALTA |
| Publicado | jue, 22 ene 2026, 04:15 (hora de España) |
| Vendor | sm-crypto |
| Producto | sm-crypto JavaScript implementations of SM2, SM3, SM4 |
| Versiones | versiones anteriores a 0.3.14 |
| Exploit Públicos | No confirmados |
| Referencia | GitHub Commit]</td |
| Descripción | sm-crypto proporciona implementaciones en JavaScript de los algoritmos criptográficos chinos SM2, SM3 y SM4. Existe una vulnerabilidad de recuperación de clave privada en la lógica de descifrado SM2 de sm-crypto en versiones anteriores a la 0.3.14. Mediante múltiples interacciones con la interfaz de descifrado SM2, un atacante puede recuperar completamente la clave privada en aproximadamente varias cientos de interacciones. La versión 0.3.14 corrige este problema. |
| Estrategia | Actualizar inmediatamente a la versión 0.3.14 o superior para mitigar la vulnerabilidad. Limitar accesos repetidos a la interfaz de descifrado, monitorizar actividades anómalas y preparar detección para interacciones excesivas que puedan indicar intentos de explotación. |
| CVE | CVE-2026-24002 |
| Severidad | CRITICAL (9) |
| Importancia para la empresa | ALTA |
| Publicado | jue, 22 ene 2026, 04:15 (hora de España) |
| Vendor | Grist Labs |
| Producto | Grist Spreadsheet Software |
| Versiones | Versiones anteriores a 1.7.9 |
| Exploit Públicos | No reportados públicamente |
| Referencia | Grist Security Advisory |
| Descripción | Grist es un software de hojas de cálculo que utiliza Python como lenguaje de fórmulas. Ofrece varias formas de ejecutar estas fórmulas en un entorno sandbox para manejar documentos no confiables. Una de esas formas usa pyodide, pero en la ejecución con node, pyodide no implementa una barrera efectiva de sandbox. Si un usuario configura `GRIST_SANDBOX_FLAVOR` en `pyodide` y abre un documento malicioso, este podría ejecutar procesos arbitrarios en el servidor donde se aloja Grist. El problema fue solucionado a partir de la versión 1.7.9, cambiando la ejecución de pyodide a un entorno bajo deno. Como solución temporal, se puede usar el sandbox basado en gvisor configurando `GRIST_SANDBOX_FLAVOR` en `gvisor`. |
| Estrategia | Actualizar inmediatamente Grist a la versión 1.7.9 o superior. Mientras tanto, configurar `GRIST_SANDBOX_FLAVOR` a `gvisor` para evitar ejecución en pyodide bajo node. Monitorizar el uso del servidor para detectar comportamientos anómalos y restringir acceso a documentos externos o no confiables. |
| CVE | CVE-2026-24042 |
| Severidad | CRITICAL (9.4) |
| Importancia para la empresa | ALTA |
| Publicado | jue, 22 ene 2026, 05:16 (hora de España) |
| Fabricante | Appsmith |
| Producto Afectado | Appsmith platform |
| Versiones Afectadas | versiones 1.94 y anteriores |
| Exploit Públicos | No |
| Referencia | GitHub Advisory |
| Descripción | Appsmith es una plataforma para construir paneles de administración, herramientas internas y dashboards. En las versiones 1.94 y anteriores, las aplicaciones accesibles públicamente permiten a usuarios no autenticados ejecutar acciones no publicadas (modo edición) enviando viewMode=false (o no enviándolo) a POST /api/v1/actions/execute. Esto permite saltarse la restricción esperada donde los usuarios públicos solo deberían ejecutar acciones publicadas, no versiones en modo edición. Un ataque puede exponer datos sensibles, permitir ejecución de consultas y APIs en modo edición, acceso a datos de desarrollo y activar comportamientos secundarios. No existe un parche disponible al momento de la publicación. |
| Estrategia | Priorizar la monitorización activa de tráficos anómalos al endpoint /api/v1/actions/execute para detectar intentos de explotación. Limitar el acceso público a aplicaciones Appsmith y evitar exponer aplicaciones sensibles sin autenticación. Preparar y aplicar parches cuando estén disponibles. Implementar firewalls de aplicación y controles de acceso estrictos para impedir llamadas no autorizadas a acciones en modo edición. |
| CVE | CVE-2026-0920 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | jue, 22 ene 2026, 08:15 (hora de España) |
| Fabricante | LA-Studio |
| Producto Afectado | LA-Studio Element Kit para Elementor |
| Versiones Afectadas | todas las versiones hasta la 1.5.6.3 inclusive |
| Exploit Públicos | No confirmado |
| Referencia | Link a código vulnerable |
| Descripción | El plugin LA-Studio Element Kit para Elementor en WordPress presenta una vulnerabilidad crítica que permite la creación de usuarios administrativos sin autenticación en todas las versiones hasta la 1.5.6.3 inclusive. Esto se debe a que la función ‘ajax_register_handle’ no restringe los roles de usuario que un atacante puede especificar en el parámetro ‘lakit_bkrole’ durante el proceso de registro, posibilitando que un atacante no autenticado obtenga acceso administrativo al sitio. |
| Estrategia | Actualizar inmediatamente a la última versión del plugin que corrija esta vulnerabilidad. Monitorizar registros de accesos para detectar cuentas administrativas sospechosas creadas recientemente. Implementar controles adicionales de validación del lado servidor para evitar la asignación no autorizada de roles. Esto es crítico debido al potencial acceso total de un atacante al sistema. |
| CVE | CVE-2026-1331 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | jue, 22 ene 2026, 10:15 (hora de España) |
| Fabricante | HAMASTAR Technology |
| Producto Afectado | MeetingHub |
| Versiones Afectadas | No especificadas |
| Exploit Públicos | No confirmados |
| Referencia | TWCert Advisory |
| Descripción | Vulnerabilidad de carga arbitraria de archivos en MeetingHub desarrollado por HAMASTAR Technology, que permite a atacantes remotos no autenticados subir y ejecutar web shells maliciosos, habilitando así la ejecución arbitraria de código en el servidor. |
| Estrategia | Aplicar inmediatamente los parches oficiales de HAMASTAR Technology. Si no hay parches disponibles, restringir y validar estrictamente la subida de archivos en MeetingHub, deshabilitar funciones de carga innecesarias, y monitorizar actividades sospechosas para detectar explotación activa. |
| CVE | CVE-2025-67684 |
| Severidad | CRÍTICA (9.4) |
| Importancia para la empresa | ALTA |
| Publicado | jue, 22 ene 2026, 13:15 (hora de España) |
| Fabricante | Quick.Cart |
| Producto Afectado | Quick.Cart |
| Versiones Afectadas | Versión 6.7 confirmada, otras versiones no confirmadas pero posiblemente vulnerables |
| Exploit Públicos | No confirmados |
| Referencia | CERT.PL Advisory |
| Descripción | Quick.Cart es vulnerable a inclusión local de archivos (Local File Inclusion) y problemas de Path Traversal en el mecanismo de selección de temas. Permite a un usuario con privilegios subir archivos con contenido arbitrario validando sólo la extensión del archivo, lo que puede permitir la inclusión y ejecución de código PHP malicioso. Esto resulta en ejecución remota de código (Remote Code Execution) en el servidor afectado. |
| Importancia operativa | La vulnerabilidad permite a un atacante con permisos limitados ejecutar código remoto en el servidor, lo que puede comprometer completamente la infraestructura. La existencia de exploits públicos no está confirmada, pero dada la criticidad, es una amenaza inmediata para la empresa. |
| Estrategia | Se recomienda actualizar a la última versión disponible si se publica un parche. Mientras tanto, restringir estrictamente los accesos privilegiados y deshabilitar la funcionalidad de carga de temas si no es imprescindible. Además, monitorear indicios de explotación y realizar auditorías de archivos subidos. Aplicar controles adicionales de validación para las cargas de archivos en la aplicación web. |
| CVE | CVE-2025-64097 |
| Severidad | CRÍTICA (9.5) |
| Importancia para la empresa | ALTA |
| Publicado | jue, 22 ene 2026, 16:16 (hora de España) |
| Fabricante | NervesHub |
| Producto Afectado | NervesHub OTA firmware update service |
| Versiones Afectadas | versiones desde 1.0.0 hasta antes de 2.3.0 |
| Exploit Públicos | No confirmados |
| Referencia | Pull Request oficial de corrección |
| Descripción | Vulnerabilidad crítica en NervesHub, un servicio web para la gestión de actualizaciones OTA de firmware. Desde la versión 1.0.0 hasta antes de la 2.3.0, los tokens de API de usuario eran predecibles y no seguros criptográficamente, permitiendo ataques de fuerza bruta para obtener acceso no autorizado a cuentas y funciones protegidas. Esta falla permite suplantación de identidad y acceso indebido a recursos sensibles del sistema. |
| Estrategia | Actualizar urgentemente a la versión 2.3.0 o superior que implementa tokens aleatorios seguros y hash de tokens en base de datos. Como mitigación temporal, restringir acceso al servidor NervesHub mediante firewall para limitar la exposición. Monitorizar signos de acceso no autorizado y actuar rápidamente ante indicios de explotación. |
| CVE | CVE-2026-23760 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | jue, 22 ene 2026, 16:16 (hora de España) |
| Vendor | SmarterTools |
| Producto | SmarterMail |
| Versiones | versiones anteriores al build 9511 |
| Exploit Públicos | Sí |
| Referencia | Watchtowr Advisory |
| Descripción | SmarterTools SmarterMail versiones anteriores al build 9511 contienen una vulnerabilidad de bypass de autenticación en la API de restablecimiento de contraseña. El endpoint force-reset-password permite solicitudes anónimas y no verifica la contraseña existente ni un token de restablecimiento al reiniciar cuentas de administradores del sistema. Un atacante no autenticado puede suministrar un nombre de usuario de administrador y una nueva contraseña para reiniciar la cuenta, lo que resulta en un compromiso administrativo total de la instancia de SmarterMail. |
| Estrategia | Actualizar inmediatamente a la versión 9511 o superior que corrige esta vulnerabilidad. En paralelo, restringir acceso al endpoint de restablecimiento de contraseña para que solo usuarios autenticados con permisos adecuados puedan realizar cambios. Monitorizar logs para detectar usos no autorizados. |
| CVE | CVE-2025-69764 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | jue, 22 ene 2026, 17:16 (hora de España) |
| Fabricante | Tenda |
| Producto Afectado | AX3 Router |
| Versiones Afectadas | Firmware v16.03.12.11 |
| Exploit Públicos | No confirmados |
| Referencia | Detalles del Vulnerabilidad |
| Descripción | El firmware Tenda AX3 v16.03.12.11 contiene un desbordamiento de búfer basado en pila en la función formGetIptv debido a un manejo inadecuado del búfer de pila stbpvid, lo que puede resultar en corrupción de memoria y ejecución remota de código. |
| Estrategia | Aplicar inmediatamente la actualización oficial del firmware proporcionada por Tenda. Monitorear la red para detectar comportamientos anómalos o intentos de explotación. Implementar restricciones de acceso a la interfaz vulnerable para minimizar el riesgo. |
| CVE | CVE-2025-69828 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | jue, 22 ene 2026, 18:16 (hora de España) |
| Fabricante | TMS Global Software |
| Producto Afectado | TMS Management Console |
| Versiones Afectadas | v.6.3.7.27386.20250818 |
| Exploit Públicos | Sí |
| Referencia | GitHub CVE-2025-69828</td |
| Descripción |
Vulnerabilidad de carga de archivos en TMS Global Software TMS Management Console v.6.3.7.27386.20250818 que permite a un atacante remoto ejecutar código arbitrario a través de la carga de logo en /Customer/AddEdit. Esta vulnerabilidad crítica permite que un actor malicioso suba un archivo malicioso como logo y ejecute código con los mismos privilegios que la aplicación, comprometiendo en profundidad el sistema afectado. |
| Estrategia | Aplicar urgentemente el parche correspondiente a esta versión o superior para cerrar el vector de inserción arbitario. Limitar y validar exhaustivamente las extensiones y el contenido de los archivos subidos. Monitorizar actividad anómala en la función de carga de archivos y preparar bloqueos inmediatos ante intentos de explotación. |
Enviar a un amigo:
