Inicio
>
Check Vulnerabilidades > Resumen vulnerabilidades críticas – 5 elementos (21 ene 2026 Europe/Madrid)
Resumen vulnerabilidades críticas – 5 elementos (21 ene 2026 Europe/Madrid)
| CVE |
Vendor |
Producto |
Severidad |
VAfectadas |
Exploit |
| CVE-2026-0905 |
Google |
Google Chrome |
CRITICAL (9.8) |
versiones anteriores a 144.0.7559.59 |
No |
| CVE-2025-56005 |
PLY |
Python Lex-Yacc (PLY) library |
CRITICAL (9.8) |
versión 3.11 |
Sí |
| CVE-2026-21962 |
Oracle |
AfectadoOracle HTTP Server, Oracle Weblogic Server Proxy Plug-in |
CRITICAL (10) |
12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 (la versión 12.2.1.4.0 afecta solo al plugin para IIS) |
No |
| CVE-2026-21969 |
Oracle |
AfectadoOracle Agile Product Lifecycle Management for Process |
CRITICAL (9.8) |
version 6.2.4 |
Sí |
| CVE-2025-15521 |
Academy LMS |
WordPress LMS Plugin for Complete eLearning Solution |
CRÍTICA (9.8) |
Todas las versiones hasta e incluyendo la 3.5.0 |
No |
| CVE |
CVE-2026-0905 |
| Severidad |
CRITICAL (9.8) |
| Importancia para la empresa |
ALTA |
| Publicado |
mar, 20 ene 2026, 06:16 (hora de España) |
| Vendor |
Google |
| Producto |
Google Chrome |
| Versiones |
versiones anteriores a 144.0.7559.59 |
| Exploit Públicos |
No confirmados |
| Referencia |
Google Chrome Release Notes |
| Descripción |
Insuficiente aplicación de políticas en la red en Google Chrome antes de la versión 144.0.7559.59 permitió a un atacante que obtuvo un archivo de registro de red potencialmente obtener información sensible. (Severidad de seguridad de Chromium: Media) |
| Estrategia |
Actualizar urgentemente a la versión 144.0.7559.59 o superior. Monitorizar accesos a archivos de registro de red y limitar acceso a personal autorizado para minimizar riesgo de exposición de información sensible. |
| CVE |
CVE-2025-56005 |
| Severidad |
CRITICAL (9.8) |
| Importancia para la empresa |
ALTA |
| Publicado |
mar, 20 ene 2026, 20:15 (hora de España) |
| Vendor |
PLY |
| Producto |
Python Lex-Yacc (PLY) library |
| Versiones |
versión 3.11 |
| Exploit Públicos |
Sí |
| Referencia |
GitHub Advisory |
| Descripción |
Una funcionalidad no documentada e insegura en la biblioteca PLY (Python Lex-Yacc) versión 3.11 permite la ejecución remota de código (RCE) mediante el parámetro picklefile en la función yacc(). Este parámetro acepta un archivo .pkl que es deserializado con pickle.load() sin validación. Debido a que pickle permite la ejecución de código embebido vía __reduce__(), un atacante puede lograr la ejecución de código enviando un archivo pickle malicioso. El parámetro no está mencionado en la documentación oficial ni en el repositorio de GitHub, pero está activo en la versión de PyPI, introduciendo un riesgo de puerta trasera furtiva y persistencia. |
| Estrategia |
Actualizar inmediatamente PLY a una versión parcheada donde se haya eliminado o asegurado el parámetro picklefile. Mientras tanto, evitar uso de esta función en entornos expuestos y revisar aplicaciones para detectar posibles cargas de archivos .pkl no controladas. Implementar controles estrictos de validación y monitoreo para detectar intentos de explotación basados en archivos pickle maliciosos. |
| CVE |
CVE-2026-21962 |
| Severidad |
CRITICAL (10) |
| Importancia para la empresa |
ALTA |
| Publicado |
mar, 20 ene 2026, 23:15 (hora de España) |
| Fabricante |
Oracle |
| Producto Afectado |
Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in |
| Versiones Afectadas |
12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 (la versión 12.2.1.4.0 afecta solo al plugin para IIS) |
| Exploit Públicos |
No confirmados |
| Referencia |
Oracle Security Alerts |
| Descripción |
Vulnerabilidad en el Oracle HTTP Server y el plugin proxy de Oracle Weblogic Server para Apache HTTP Server e IIS. La vulnerabilidad es fácilmente explotable por un atacante no autenticado con acceso a la red vía HTTP que puede comprometer completamente el servidor afectado. Esto permite la creación, modificación o eliminación no autorizada de datos críticos, afectando gravemente la confidencialidad e integridad de los mismos. |
| Estrategia |
Aplicar de inmediato los parches oficiales correspondientes a las versiones afectadas proporcionados por Oracle. Si es posible, restringir el acceso HTTP al servidor proxy y monitorizar activamente logs para detectar intentos de explotación. Esta vulnerabilidad requiere máxima prioridad debido a su alta severidad y facilidad de explotación remota sin autenticación. |
| CVE |
CVE-2026-21969 |
| Severidad |
CRITICAL (9.8) |
| Importancia para la empresa |
ALTA |
| Publicado |
mar, 20 ene 2026, 23:15 (hora de España) |
| Fabricante |
Oracle |
| Producto Afectado |
Oracle Agile Product Lifecycle Management for Process |
| Versiones Afectadas |
version 6.2.4 |
| Exploit Públicos |
Sí |
| Referencia |
Alerta de seguridad Oracle Enero 2026 |
| Descripción |
Vulnerabilidad en el producto Oracle Agile Product Lifecycle Management for Process de Oracle Supply Chain (componente: Supplier Portal). La versión afectada soportada es la 6.2.4. Vulnerabilidad fácilmente explotable que permite a un atacante no autenticado con acceso a la red via HTTP comprometer completamente el producto. Los ataques exitosos pueden resultar en la toma de control total del sistema, impactando confidencialidad, integridad y disponibilidad. CVSS 3.1 Base Score 9.8. |
| Estrategia |
Aplicar de inmediato el parche oficial de Oracle para la versión 6.2.4. Restringir el acceso HTTP al componente afectado, implementar monitoreo de tráfico sospechoso y verificar la integridad del sistema para detectar compromisos. Priorizar esta vulnerabilidad por su alta criticidad y disponibilidad de exploits públicos. |
| CVE |
CVE-2025-15521 |
| Severidad |
CRÍTICA (9.8) |
| Importancia para la empresa |
ALTA |
| Publicado |
mié, 21 ene 2026, 03:15 (hora de España) |
| Vendor |
Academy LMS |
| Producto |
WordPress LMS Plugin for Complete eLearning Solution |
| Versiones |
Todas las versiones hasta e incluyendo la 3.5.0 |
| Exploit Públicos |
No confirmados |
| Referencia |
Código fuente vulnerable |
| Descripción |
El plugin Academy LMS – WordPress LMS Plugin para Complete eLearning Solution es vulnerable a una escalada de privilegios mediante la toma de control de cuentas en todas las versiones hasta la 3.5.0 inclusive. Esto se debe a que el plugin no valida correctamente la identidad del usuario antes de actualizar su contraseña y se basa únicamente en un nonce públicamente expuesto para la autorización. Esto permite a un atacante no autenticado cambiar la contraseña de cualquier usuario, incluidos los administradores, y acceder a sus cuentas. |
| Estrategia |
Actualizar inmediatamente el plugin a una versión parcheada que corrija esta vulnerabilidad. En caso de no haber parche, restringir el acceso a la administración y monitorear intentos de explotación. Implementar controles adicionales de validación y autorización para cambios críticos de cuenta, y auditar accesos para detectar compromisos. |
Enviar a un amigo:
Me gusta esto:
Me gusta Cargando...
Comentarios cerrados.
