Resumen vulnerabilidades críticas – 29 elementos (13 ene 2026 Europe/Madrid)
martes, 13 de enero de 2026
| CVE | Vendor | Producto | Severidad | VAfectadas | Exploit |
|---|---|---|---|---|---|
| CVE-2026-20805 | Microsoft | AfectadoMicrosoft Windows | Se está Explotando | No especificadas (revisar enlace oficial) | Sí |
| CVE-2026-20805 | Microsoft | AfectadoDesktop Window Manager | Se está Explotando | No especificado concretamente, afecta versiones actuales y soporte activo | Confirmados en explotación activa |
| CVE-2025-14436 | Brevo | Brevo for WooCommerce Plugin for WordPress | Se está Explotando | No especificadas | Sí |
| CVE-2025-51567 | kashipara | Online Exam System V1.0 | CRITICAL (9.1) | V1.0 | Sí |
| CVE-2025-66802 | Sourcecodester | Covid-19 Contact Tracing System | CRITICAL (9.8) | 1.0 | Sí |
| CVE-2025-67147 | amansuryawanshi | AfectadoGym-Management-System-PHP | CRITICAL (9.8) | 1.0 | No |
| CVE-2025-12420 | ServiceNow | ServiceNow AI Platform | CRITICAL (9.3) | Versiones anteriores a la actualización de Octubre 2025 | No |
| CVE-2025-29329 | Sagemcom | F@st 3686 MAGYAR_4.121.0 | CRITICAL (9.8) | MAGYAR_4.121.0 | No |
| CVE-2025-67146 | AbhishekMali21 | GYM-MANAGEMENT-SYSTEM | CRITICAL (9.4) | 1.0 | No |
| CVE-2026-22794 | Appsmith | Appsmith Platform | CRITICAL (9.6) | Versiones anteriores a 1.93 | No |
| CVE-2026-22799 | Emlog | Emlog Website Building System | CRITICAL (9.3) | Versiones 2.6.1 y anteriores | Sí |
| CVE-2026-22813 | AnomalyCo | OpenCode (agente de codificación AI Open Source) | CRÍTICA (9.4) | Versiones anteriores a 1.1.10 | No |
| CVE-2026-0491 | SAP | SAP Landscape Transformation | CRITICAL (9.1) | No especificadas en la descripción disponible | No |
| CVE-2026-0498 | SAP | SAP S | CRITICAL (9.1) | Versiones afectadas no especificadas claramente, se recomienda revisar nota oficial | No |
| CVE-2026-0500 | SAP | Wily Introscope Enterprise Manager (WorkStation) | CRITICAL (9.6) | No especificadas, afecta versiones que utilizan el componente vulnerable de terceros | No |
| CVE-2026-0501 | SAP | SAP S | CRITICAL (9.9) | No especificado; afecta versiones de SAP S | No |
| CVE-2025-10915 | Dreamer Themes | Dreamer Blog WordPress theme | CRITICAL (9.8) | versiones hasta la 1.2 inclusive | No |
| CVE-2025-14829 | The E-xact | Hosted Payment | CRITICAL (9.1) | hasta la versión 2.0 inclusive | No |
| CVE-2025-40805 | Siemens | Dispositivos afectados no especificados (probablemente industrial IoT o sistemas SCADA) | CRITICAL (10) | No especificadas en el aviso público | No |
| CVE-2025-11250 | Zohocorp | ManageEngine ADSelfService Plus | CRITICAL (9.1) | versiones anteriores a la 6519 | No |
| CVE-2026-0879 | Mozilla | Firefox, Firefox ESR | CRITICAL (9.8) | Firefox | No |
| CVE-2026-0881 | Mozilla | Firefox | CRITICAL (10) | versiones anteriores a 147 | No |
| CVE-2026-0884 | Mozilla | Firefox y Firefox ESR | CRITICAL (9.8) | Firefox versiones anteriores a 147 y Firefox ESR versiones anteriores a 140.7 | No |
| CVE-2026-0892 | Mozilla | Firefox y Thunderbird | CRITICAL (9.8) | Firefox | No |
| CVE-2026-22755 | Vivotek | Modelos de dispositivos FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391, FE9180, FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371, IB9381, IB9387, IB9389, IB939, IP9165, IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330 (Módulos de firmware) | CRITICAL (9.3) | Firmware versiones 0100a, 0106a, 0106b, 0107a, 0107b_1, 0109a, 0112a, 0113a, 0113d, 0117b, 0119e, 0120b, 0121, 0121d, 0121d_48573_1, 0122e, 0124d_48573_1, 012501, 012502, 0125c | No |
| CVE-2025-12548 | Eclipse Foundation | Eclipse Che che-machine-exec | CRITICAL (9) | Versiones que exponen la API JSON-RPC | Sí |
| CVE-2025-47855 | Fortinet | FortiFone | CRITICAL (9.8) | 7.0.0 a 7.0.1, 3.0.13 a 3.0.23 | No |
| CVE-2025-64155 | Fortinet | AfectadoFortiSIEM | CRITICAL (9.8) | 7.4.0, 7.3.0 – 7.3.4, 7.1.0 – 7.1.8, 7.0.0 – 7.0.4, 6.7.0 – 6.7.10 | No |
| CVE-2025-68271 | OpenC3 | COSMOS | CRITICAL (10) | 5.0.0 a 6.10.1 | No |
| CVE | CVE-2026-20805 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | Mar, 13 ene 2026, 01:00 (hora de España) |
| Fabricante | Microsoft |
| Producto Afectado | Microsoft Windows |
| Versiones Afectadas | No especificadas (revisar enlace oficial) |
| Exploit Públicos | Sí, en explotación activa |
| Referencia | MSRC Microsoft ; NVD NIST |
| Descripción | Microsoft Windows contiene una vulnerabilidad de divulgación de información que permite a un atacante autorizado revelar información localmente. |
| Evaluación | Esta vulnerabilidad permite a atacantes con acceso autorizado obtener información sensible localmente, lo que puede facilitar movimientos laterales o escalada de privilegios en entornos internos. Su explotación activa aumenta el riesgo de exposición de datos críticos en sistemas Windows vulnerables. |
| Estrategia | Aplicar inmediatamente los parches oficiales de Microsoft según lo indicado en la referencia. Asegurar control estricto de accesos locales, monitorizar eventos sospechosos y limitar permisos para reducir riesgo de explotación. |
| CVE | CVE-2026-20805 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 13/01/2026 |
| Fabricante | Microsoft |
| Producto Afectado | Desktop Window Manager |
| Versiones Afectadas | No especificado concretamente, afecta versiones actuales y soporte activo |
| Exploit Públicos | Confirmados en explotación activa |
| Referencia | VulnCheck CVE-2026-20805, Listado KEV, FAQ VulnCheck KEV |
| Descripción | Vulnerabilidad en Desktop Window Manager de Microsoft con evidencia confirmada de explotación activa en el entorno wild. Esta vulnerabilidad permite a atacantes remotos ejecutar código malicioso aprovechando fallos en la gestión de ventanas del sistema, poniendo en riesgo la integridad y disponibilidad de la infraestructura afectada. |
| Estrategia | Aplicar inmediatamente los parches oficiales que Microsoft ha publicado para Desktop Window Manager. Además, implementar controles de monitorización de procesos inusuales y comportamientos anómalos asociados al DWM, así como restringir privilegios para limitar el impacto de posibles ataques en caso de explotación. |
| CVE | CVE-2025-14436 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 2025-01-12 |
| Vendor | Brevo |
| Producto | Brevo for WooCommerce Plugin for WordPress |
| Versiones | No especificadas |
| Exploit Públicos | Sí, explotación activa confirmada |
| Referencia | link 1, link 2, link 3 |
| Descripción | Vulnerabilidad de Neutralización Inadecuada de Entrada durante la Generación de Páginas Web (‘Cross-site Scripting’) en Brevo para el Plugin WooCommerce de WordPress que permite a atacantes inyectar scripts maliciosos. |
| Estrategia | Actualizar inmediatamente a la última versión oficial que corrige esta vulnerabilidad. Implementar controles estrictos de validación y escape de entradas en la aplicación web. Monitorizar tráfico y logs para detectar intentos de explotación activos. |
| CVE | CVE-2025-51567 |
| Severidad | CRITICAL (9.1) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 12 ene 2026, 21:15 (hora de España) |
| Vendor | kashipara |
| Producto | Online Exam System V1.0 |
| Versiones | V1.0 |
| Exploit Públicos | Confirmados y disponibles |
| Referencia | Informe detallado de explotación |
| Descripción | Se ha detectado una vulnerabilidad de inyección SQL en la página /exam/user/profile.php del producto kashipara Online Exam System V1.0, que permite a atacantes remotos ejecutar comandos SQL arbitrarios para obtener acceso no autorizado a la base de datos mediante los parámetros rname, rcollage, rnumber, rgender y rpassword en una solicitud HTTP POST. |
| Estrategia | Aplicar inmediatamente el parche oficial o actualizar a una versión corregida. Implementar validación y saneamiento exhaustivo de entradas en el servidor. Monitorizar accesos y posibles actividades inusuales en la base de datos para detectar explotación activa. |
| CVE | CVE-2025-66802 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 12 ene 2026, 21:15 (hora de España) |
| Vendor | Sourcecodester |
| Producto | Covid-19 Contact Tracing System |
| Versiones | 1.0 |
| Exploit Públicos | No hay confirmación actual |
| Referencia | Fuente de información |
| Descripción | Sourcecodester Covid-19 Contact Tracing System 1.0 es vulnerable a ejecución remota de código (RCE). La aplicación permite recibir una shell inversa (php) dentro de la imagen del usuario que habilita la ejecución remota de código. |
| Estrategia | Actualizar inmediatamente a una versión parcheada o aplicar mitigaciones en el servidor como restricciones estrictas de carga y validación de imágenes, y monitorizar intentos de ejecución de código remoto. Priorizar esta vulnerabilidad dada su capacidad de comprometer completamente sistemas críticos. |
| CVE | CVE-2025-67147 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 12 ene 2026, 22:15 (hora de España) |
| Fabricante | amansuryawanshi |
| Producto Afectado | Gym-Management-System-PHP |
| Versiones Afectadas | 1.0 |
| Exploit Públicos | No confirmados |
| Referencia | GitHub Issue</td |
| Descripción | Existen múltiples vulnerabilidades de inyección SQL en amansuryawanshi Gym-Management-System-PHP 1.0 a través de los parámetros ‘name’, ‘email’ y ‘comment’ en submit_contact.php, los parámetros ‘username’ y ‘pass_key’ en secure_login.php, y los parámetros ‘login_id’, ‘pwfield’ y ‘login_key’ en change_s_pwd.php. Un atacante autenticado o no autenticado puede explotar estas vulnerabilidades para evadir la autenticación, ejecutar comandos SQL arbitrarios, modificar registros de la base de datos, eliminar datos o escalar privilegios a nivel administrador. |
| Evaluación | Esta vulnerabilidad representa un riesgo crítico que puede comprometer por completo la seguridad de la aplicación y de la información almacenada, permitiendo acceso no autorizado y manipulación total de datos. |
| Estrategia | Aplicar inmediatamente las actualizaciones que corrijan la inyección SQL; si no existen, implementar validación y saneamiento riguroso de todas las entradas de usuario en las páginas indicadas. Monitorizar intentos de explotación y restringir el acceso a la aplicación desde redes no confiables para mitigar riesgos asociados. |
| CVE | CVE-2025-12420 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 12 ene 2026, 23:16 (hora de España) |
| Vendor | ServiceNow |
| Producto | ServiceNow AI Platform |
| Versiones | Versiones anteriores a la actualización de Octubre 2025 |
| Exploit Públicos | No reportados |
| Referencia | ServiceNow KB</td |
| Descripción | Se ha identificado una vulnerabilidad en la plataforma ServiceNow AI que podría permitir a un usuario no autenticado suplantar la identidad de otro usuario y realizar las operaciones que este tiene autorizadas.
ServiceNow ha solucionado esta vulnerabilidad mediante una actualización de seguridad desplegada en octubre de 2025 para instancias alojadas. También se han proporcionado actualizaciones para clientes autohospedados, partners y clientes con configuraciones especiales, además de en las versiones listadas de Store App. Se recomienda aplicar la actualización o actualización pertinente cuanto antes si no se ha hecho aún. |
| Evaluación | Esta vulnerabilidad permite la impersonificación sin autenticación previa, lo que puede comprometer completamente la integridad y confidencialidad de los datos y operaciones de usuarios legítimos. La ausencia de exploits públicos conocidos no disminuye la gravedad, dado que la técnica es crítica y explotable remotamente. Se debe priorizar su mitigación inmediata. |
| Estrategia | Aplicar urgentemente la actualización de seguridad publicada por ServiceNow en octubre de 2025 en todas las instancias, tanto alojadas como autohospedadas y configuraciones especiales. Además, monitorizar accesos atípicos para detectar posibles intentos de explotación y asegurar que los controles de acceso y autenticación se encuentran reforzados. |
| CVE | CVE-2025-29329 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 12 ene 2026, 23:16 (hora de España) |
| Vendor | Sagemcom |
| Producto | F@st 3686 MAGYAR_4.121.0 |
| Versiones | MAGYAR_4.121.0 |
| Exploit Públicos | No confirmados hasta la fecha |
| Referencia | http://fst.com |
| Descripción | Desbordamiento de búfer en el servicio ippprint (Internet Printing Protocol) en Sagemcom F@st 3686 MAGYAR_4.121.0 que permite a un atacante remoto ejecutar código arbitrario mediante el envío de una solicitud HTTP manipulada. |
| Estrategia | Aplicar de inmediato el parche o actualización oficial del fabricante para corregir el desbordamiento de búfer. En ausencia de parche, restringir el acceso remoto al servicio ippprint y monitorizar activamente tráfico HTTP sospechoso para detectar intentos de explotación. |
| CVE | CVE-2025-67146 |
| Severidad | CRITICAL (9.4) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 12 ene 2026, 23:16 (hora de España) |
| Vendor | AbhishekMali21 |
| Producto | GYM-MANAGEMENT-SYSTEM |
| Versiones | 1.0 |
| Exploit Públicos | No reportados |
| Referencia | GitHub Issue</td |
| Descripción | Existen múltiples vulnerabilidades de Inyección SQL en AbhishekMali21 GYM-MANAGEMENT-SYSTEM 1.0 a través del parámetro ‘name’ en (1) member_search.php, (2) trainer_search.php, y (3) gym_search.php, y mediante el parámetro ‘id’ en (4) payment_search.php. Un atacante remoto no autenticado puede explotar estas vulnerabilidades para inyectar comandos SQL maliciosos, lo que permite la extracción no autorizada de datos, eludir la autenticación o modificar los contenidos de la base de datos. |
| Estrategia | Actualizar inmediatamente a una versión parcheada o aplicar un filtro exhaustivo y parametrizado de las entradas en los parámetros afectados para bloquear inyecciones SQL. Monitorizar los accesos inusuales y restringir el acceso externo a estos servicios hasta que la vulnerabilidad sea mitigada. |
| CVE | CVE-2026-22794 |
| Severidad | CRITICAL (9.6) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 12 ene 2026, 23:16 (hora de España) |
| Vendor | Appsmith |
| Producto | Appsmith Platform |
| Versiones | Versiones anteriores a 1.93 |
| Exploit Públicos | No confirmados |
| Referencia | Github Commit Fix |
| Descripción | Appsmith es una plataforma para construir paneles de administración, herramientas internas y dashboards. Antes de la versión 1.93, el servidor usa el valor Origin de las cabeceras de la petición como baseUrl para los enlaces de correo electrónico sin validación. Si un atacante controla el Origin, puede generar enlaces de restablecimiento de contraseña o verificación de correo que apunten a su dominio, exponiendo tokens de autenticación y potencialmente permitiendo la toma de control de cuentas. Esta vulnerabilidad está corregida en la versión 1.93. |
| Estrategia | Actualizar inmediatamente a la versión 1.93 o superior para corregir esta vulnerabilidad. Revisar configuraciones de validación de cabeceras HTTP y monitorizar posibles accesos inusuales a enlaces de restablecimiento de contraseña o verificación. No se han confirmado exploits públicos, pero la explotación puede conducir a compromisos severos de cuentas. |
| CVE | CVE-2026-22799 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | lun, 12 ene 2026, 23:16 (hora de España) |
| Vendor | Emlog |
| Producto | Emlog Website Building System |
| Versiones | Versiones 2.6.1 y anteriores |
| Exploit Públicos | No confirmado, pero la explotación requiere clave API válida o sesión admin |
| Referencia | GitHub Commit oficial |
| Descripción | Emlog es un sistema de construcción de sitios web de código abierto. emlog v2.6.1 y anteriores exponen un endpoint REST API (/index.php?rest-api=upload) para subir archivos multimedia. Este endpoint no valida correctamente tipos de archivo, extensiones ni contenido, permitiendo a atacantes autenticados (con clave API válida o cookie de sesión admin) subir archivos arbitrarios, incluyendo scripts PHP maliciosos, al servidor. El atacante puede obtener la clave API al conseguir acceso administrador para activar la API REST, o mediante vulnerabilidades de divulgación de información en la aplicación. Tras subir el archivo malicioso, se puede ejecutar para lograr ejecución remota de código (RCE) y comprometer totalmente el servidor objetivo. |
| Impacto | Permite a un atacante autenticado ejecutar código arbitrario en el servidor, con riesgo de completa toma de control del sistema, lo que supone un alto riesgo operativo en entornos que usen este software. |
| Estrategia | Actualizar de inmediato a la versión más reciente que corrija esta vulnerabilidad. Limitar el acceso administrativo para evitar que usuarios no autorizados activen la API REST. Monitorizar y auditar accesos para detectar uso indebido de credenciales y restringir la exposición del endpoint de subida de archivos mediante controles adicionales de validación y seguridad. |
| CVE | CVE-2026-22813 |
| Severidad | CRÍTICA (9.4) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 00:15 (hora de España) |
| Vendor | AnomalyCo |
| Producto | OpenCode (agente de codificación AI Open Source) |
| Versiones | Versiones anteriores a 1.1.10 |
| Exploit Públicos | No se reportan exploits públicos confirmados |
| Referencia | Aviso de seguridad de OpenCode |
| Descripción | OpenCode es un agente de codificación AI de código abierto. El renderer Markdown usado para respuestas LLM inserta HTML arbitrario en el DOM sin sanitización con DOMPurify ni políticas CSP en la interfaz web, permitiendo la ejecución de JavaScript vía inyección de HTML. Esto permite a un atacante controlar la respuesta del LLM e iniciar código JavaScript en http://localhost:4096, comprometiendo la seguridad local. La vulnerabilidad se corrige en la versión 1.1.10. |
| Estrategia | Actualizar inmediatamente a la versión 1.1.10 o superior que corrige la vulnerabilidad. Restricciones adicionales en la configuración del entorno local para limitar la ejecución de scripts y monitorizar comportamientos inusuales en la interfaz web para detectar posibles intentos de explotación. |
| CVE | CVE-2026-0491 |
| Severidad | CRITICAL (9.1) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 03:15 (hora de España) |
| Vendor | SAP |
| Producto | SAP Landscape Transformation |
| Versiones | No especificadas en la descripción disponible |
| Exploit Públicos | No confirmados |
| Referencia | SAP Note 3697979 |
| Descripción | SAP Landscape Transformation permite a un atacante con privilegios administrativos explotar una vulnerabilidad en el módulo de función expuesto vía RFC. Esta falla posibilita la inyección de código ABAP arbitrario o comandos OS en el sistema, eludiendo controles de autorización esenciales. Esta vulnerabilidad actúa como una puerta trasera, creando riesgo de compromiso total del sistema y afectando la confidencialidad, integridad y disponibilidad del mismo. |
| Estrategia | Aplicar inmediatamente el parche oficial proporcionado por SAP conforme a la nota de seguridad; restringir accesos administrativos y revisiones rigurosas en autorizaciones de módulos RFC; monitorizar posibles indicios de actividad anómala o inyecciones de código para detectar intentos de explotación activa. |
| CVE | CVE-2026-0498 |
| Severidad | CRITICAL (9.1) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 03:15 (hora de España) |
| Vendor | SAP |
| Producto | SAP S/4HANA (Private Cloud and On-Premise) |
| Versiones | Versiones afectadas no especificadas claramente, se recomienda revisar nota oficial |
| Exploit Públicos | No reportados aún |
| Referencia | SAP Security Note</td |
| Descripción | SAP S/4HANA (Private Cloud y On-Premise) permite que un atacante con privilegios de administrador explote una vulnerabilidad en un módulo de función expuesto vía RFC. Esta falla posibilita la inyección de código ABAP arbitrario o comandos OS en el sistema, eludiendo verificaciones críticas de autorización. Funciona como una puerta trasera, con riesgo de compromiso total del sistema, afectando la confidencialidad, integridad y disponibilidad. |
| Estrategia | Aplicar inmediatamente el parche oficial proporcionado por SAP. Limitar y auditar estrictamente los accesos con privilegios administrativos, especialmente aquellos que usan RFC. Monitorizar cualquier actividad sospechosa que indique posible ejecución de código arbitrario para detectar intentos de explotación activa. |
| CVE | CVE-2026-0500 |
| Severidad | CRITICAL (9.6) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 03:15 (hora de España) |
| Vendor | SAP |
| Producto | Wily Introscope Enterprise Manager (WorkStation) |
| Versiones | No especificadas, afecta versiones que utilizan el componente vulnerable de terceros |
| Exploit Públicos | No confirmados |
| Referencia | SAP Security Note 3668679 |
| Descripción | Debido al uso de un componente vulnerable de terceros en SAP Wily Introscope Enterprise Manager (WorkStation), un atacante no autenticado podría crear un archivo malicioso JNLP (Java Network Launch Protocol) accesible mediante una URL pública. Cuando una víctima hace clic en esta URL, el servidor Wily Introscope accedido podría ejecutar comandos del sistema operativo en la máquina de la víctima. Esto comprometería completamente la confidencialidad, integridad y disponibilidad del sistema. |
| Estrategia | Aplicar inmediatamente los parches oficiales publicados por SAP. Restringir el acceso público a URLs que puedan servir archivos JNLP y monitorizar activamente accesos inusuales. Deshabilitar funciones que permitan ejecución remota de comandos si no son imprescindibles y revisar configuraciones de seguridad del servidor para minimizar riesgo de explotación. Vigilar indicadores de compromiso ya que la explotación es factible sin autenticación. |
| CVE | CVE-2026-0501 |
| Severidad | CRITICAL (9.9) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 03:15 (hora de España) |
| Vendor | SAP |
| Producto | SAP S/4HANA Private Cloud y On-Premise (Financials General Ledger) |
| Versiones | No especificado; afecta versiones de SAP S/4HANA Private Cloud y On-Premise en Financials General Ledger vulnerables |
| Exploit Públicos | No reportados actualmente |
| Referencia | SAP Security Note 3687749 |
| Descripción | Debido a una validación insuficiente de las entradas en SAP S/4HANA Private Cloud y On-Premise (Financials General Ledger), un usuario autenticado podría ejecutar consultas SQL manipuladas para leer, modificar y eliminar datos en la base de datos interna. Esto conlleva un impacto alto en la confidencialidad, integridad y disponibilidad de la aplicación. |
| Estrategia | Priorizar la instalación inmediata del parche oficial proporcionado por SAP. Revisar y restringir permisos de usuarios autenticados para minimizar el alcance de posibles ataques. Monitorizar accesos y actividad inusual en la base de datos para detectar explotación activa. |
| CVE | CVE-2025-10915 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 07:15 (hora de España) |
| Vendor | Dreamer Themes |
| Producto | Dreamer Blog WordPress theme |
| Versiones | versiones hasta la 1.2 inclusive |
| Exploit Públicos | No confirmados públicamente |
| Referencia | WPSCAN Advisory |
| Descripción | El tema Dreamer Blog para WordPress hasta la versión 1.2 es vulnerable a instalaciones arbitrarias debido a la ausencia de una verificación de capacidades. Esta vulnerabilidad permite a un atacante realizar instalaciones no autorizadas pudiendo comprometer la integridad del sitio afectado si pueden ejecutar código malicioso o instalar componentes no autorizados. |
| Estrategia | Actualizar inmediatamente el tema Dreamer Blog a una versión corregida posterior a la 1.2. Aplicar controles de acceso estrictos para las instalaciones y auditorías regulares para detectar actividades no autorizadas. Monitorizar la red y registros para detectar intentos de explotación. |
| CVE | CVE-2025-14829 |
| Severidad | CRITICAL (9.1) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 07:15 (hora de España) |
| Vendor | The E-xact |
| Producto | Hosted Payment | WordPress plugin |
| Versiones | hasta la versión 2.0 inclusive |
| Exploit Públicos | No confirmados |
| Referencia | wpscan Advisory |
| Descripción | El plugin de WordPress Hosted Payment de The E-xact, hasta la versión 2.0, tiene una vulnerabilidad de eliminación arbitraria de archivos debido a una validación insuficiente de la ruta del archivo. Esto permite a atacantes no autenticados borrar archivos arbitrarios en el servidor. |
| Estrategia | Actualizar inmediatamente el plugin a una versión corregida si está disponible. Si no, limitar el acceso público al plugin y al servidor. Monitorizar logs para detectar intentos de eliminación y aplicar controles adicionales de validación en rutas de archivos si es posible. |
| CVE | CVE-2025-40805 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 11:15 (hora de España) |
| Vendor | Siemens |
| Producto | Dispositivos afectados no especificados (probablemente industrial IoT o sistemas SCADA) |
| Versiones | No especificadas en el aviso público |
| Exploit Públicos | No reportados |
| Referencia | Siemens CERT Advisory |
| Descripción | Los dispositivos afectados no aplican correctamente la autenticación de usuarios en puntos de acceso específicos de la API. Esto podría facilitar que un atacante remoto no autenticado eluda la autenticación e impersonifique a un usuario legítimo. La explotación exitosa requiere que el atacante conozca la identidad de un usuario legítimo. |
| Estrategia | Aplicar inmediatamente los parches oficiales proporcionados por Siemens. Revisar y reforzar la gestión y monitoreo de accesos API, validar identidades legítimas y restringir el acceso a interfaces críticas. Monitorizar intentos de acceso sospechosos para detectar posibles intentos de suplantación. |
| CVE | CVE-2025-11250 |
| Severidad | CRITICAL (9.1) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 15:16 (hora de España) |
| Vendor | Zohocorp |
| Producto | ManageEngine ADSelfService Plus |
| Versiones | versiones anteriores a la 6519 |
| Exploit Públicos | No confirmados |
| Referencia | ManageEngine Advisory |
| Descripción | Zohocorp ManageEngine ADSelfService Plus versiones anteriores a la 6519 son vulnerables a un salto de autenticación debido a configuraciones incorrectas de filtros.
Esta vulnerabilidad permite a un atacante omitir el proceso de autenticación, accediendo potencialmente a cuentas protegidas sin credenciales válidas, lo que supone un riesgo crítico de acceso no autorizado en la red de la empresa. |
| Estrategia | Actualizar de inmediato a la versión 6519 o superior que corrige el problema. En paralelo, monitorear accesos sospechosos y aplicar controles adicionales de autenticación multifactor para mitigar el impacto ante un posible intento de explotación. |
| CVE | CVE-2026-0879 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 15:16 (hora de España) |
| Vendor | Mozilla |
| Producto | Firefox, Firefox ESR |
| Versiones | Firefox < 147, Firefox ESR < 115.32, Firefox ESR < 140.7 |
| Exploit Públicos | No confirmados |
| Referencia | Mozilla Bugzilla</td |
| Descripción | Evasión de sandbox debido a condiciones incorrectas de límites en el componente gráfico. Esta vulnerabilidad afecta a Firefox versiones inferiores a la 147 y a Firefox ESR versiones inferiores a 115.32 y 140.7. |
| Estrategia | Actualizar urgentemente a las versiones parcheadas Firefox 147 o superior y Firefox ESR 115.32/140.7 o superiores. Monitorizar actividad sospechosa que intente escapar del sandbox y restringir permisos a procesos gráficos para mitigar posibles explotaciones. |
| CVE | CVE-2026-0881 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 15:16 (hora de España) |
| Vendor | Mozilla |
| Producto | Firefox |
| Versiones | versiones anteriores a 147 |
| Exploit Públicos | No confirmados |
| Referencia | <https://bugzilla.mozilla.org/show_bug.cgi?id=2005845|Mozilla Bugzilla> |
| Descripción | Escape del sandbox en el componente del sistema de mensajería. Esta vulnerabilidad afecta a Firefox en versiones anteriores a la 147. |
| Estrategia | Actualizar inmediatamente Firefox a la versión 147 o superior, que incluye la corrección. Monitorizar actividad sospechosa relacionada con escaladas de privilegios y evitar el uso de versiones vulnerables en entornos corporativos críticos. |
| CVE | CVE-2026-0884 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 15:16 (hora de España) |
| Vendor | Mozilla |
| Producto | Firefox y Firefox ESR |
| Versiones | Firefox versiones anteriores a 147 y Firefox ESR versiones anteriores a 140.7 |
| Exploit Públicos | No confirmados |
| Referencia | Bugzilla Mozilla |
| Descripción | Use-after-free en el componente del motor de JavaScript. Esta vulnerabilidad afecta a Firefox versiones anteriores a la 147 y Firefox ESR versiones anteriores a la 140.7.
Esta falla permite que un atacante pueda aprovechar condiciones de gestión errónea de memoria para ejecutar código arbitrario, potencialmente comprometiendo la ejecución del navegador y, por extensión, la seguridad en operaciones web sensibles. |
| Estrategia | Actualizar inmediatamente Firefox y Firefox ESR a las versiones 147 y 140.7 o superiores, respectivamente. Monitorizar activamente el entorno para detectar posibles explotaciones ya que la vulnerabilidad es crítica y puede permitir ejecución remota. En paralelo, aplicar políticas restrictivas en navegación y validar la seguridad de los complementos instalados. |
| CVE | CVE-2026-0892 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 15:16 (hora de España) |
| Vendor | Mozilla |
| Producto | Firefox y Thunderbird |
| Versiones | Firefox < 147, Thunderbird 146 |
| Exploit Públicos | No confirmados actualmente |
| Referencia | Bugzilla Mozilla |
| Descripción | Errores de seguridad en la gestión de memoria presentes en Firefox 146 y Thunderbird 146. Algunos de estos errores mostraron evidencia de corrupción de memoria y se presume que con suficiente esfuerzo podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a la 147. |
| Estrategia | Actualizar de inmediato Firefox y Thunderbird a versiones superiores (Firefox 147 o superior). Realizar monitorización activa de intentos de explotación y reforzar políticas de control de ejecución para mitigar ejecución de código arbitrario. |
| CVE | CVE-2026-22755 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 16:16 (hora de España) |
| Vendor | Vivotek |
| Producto | Modelos de dispositivos FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391, FE9180, FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371, IB9381, IB9387, IB9389, IB939, IP9165, IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330 (Módulos de firmware) |
| Versiones | Firmware versiones 0100a, 0106a, 0106b, 0107a, 0107b_1, 0109a, 0112a, 0113a, 0113d, 0117b, 0119e, 0120b, 0121, 0121d, 0121d_48573_1, 0122e, 0124d_48573_1, 012501, 012502, 0125c |
| Exploit Públicos | No confirmados |
| Referencia | Vapid Labs Advisory</td |
| Descripción | Vulnerabilidad de neutralización inadecuada de elementos especiales usados en comandos (inyección de comandos) en dispositivos Vivotek, que afecta a múltiples modelos y versiones de firmware. Esta falla permite que un atacante ejecute comandos arbitrarios en el sistema operativo del dispositivo afectado, comprometiendo la integridad y control total del mismo. |
| Estrategia | Actualizar inmediatamente el firmware a versiones parcheadas que corrigen esta vulnerabilidad. Además, restringir el acceso administrativo a la red interna o VPN segura, implementar monitoreo de comandos sospechosos en los dispositivos y auditar configuraciones para minimizar la superficie de ataque. |
| CVE | CVE-2025-12548 |
| Severidad | CRITICAL (9) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 17:15 (hora de España) |
| Vendor | Eclipse Foundation |
| Producto | Eclipse Che che-machine-exec |
| Versiones | Versiones que exponen la API JSON-RPC / websocket en TCP puerto 3333 sin autenticación (versiones anteriores a la corrección anunciada) |
| Exploit Públicos | No reportados pero la facilidad de explotación remota y sin autenticación aumenta riesgo |
| Referencia | Red Hat Advisory |
| Descripción | Se ha encontrado una falla en Eclipse Che che-machine-exec. Esta vulnerabilidad permite la ejecución remota arbitraria de comandos sin autenticación y la exfiltración de secretos (claves SSH, tokens, etc.) desde los contenedores de espacios de trabajo de otros usuarios, a través de una API JSON-RPC / websocket no autenticada expuesta en el puerto TCP 3333. |
| Estrategia | Actualizar inmediatamente a la versión corregida que mitiga la exposición del puerto 3333 sin autenticación. Limitar acceso a la red interna a este puerto, implementar controles de firewall y monitorizar actividad inusual para detectar posibles intentos de explotación remota. |
| CVE | CVE-2025-47855 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 18:15 (hora de España) |
| Vendor | Fortinet |
| Producto | FortiFone |
| Versiones | 7.0.0 a 7.0.1, 3.0.13 a 3.0.23 |
| Exploit Públicos | No confirmados |
| Referencia | Fortinet Advisory |
| Descripción | Vulnerabilidad de exposición de información sensible a un actor no autorizado [CWE-200] en Fortinet FortiFone versiones 7.0.0 a 7.0.1 y 3.0.13 a 3.0.23 que permite a un atacante no autenticado obtener la configuración del dispositivo mediante peticiones HTTP o HTTPS manipuladas. |
| Estrategia | Actualizar inmediatamente FortiFone a versiones superiores a las afectadas. Como defensa inmediata, restringir el acceso a las interfaces HTTP/HTTPS solo a redes confiables y monitorizar tráfico anómalo. Verificar patrones de acceso sospechosos para detectar explotación activa. |
| CVE | CVE-2025-64155 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 18:15 (hora de España) |
| Fabricante | Fortinet |
| Producto Afectado | FortiSIEM |
| Versiones Afectadas | 7.4.0, 7.3.0 – 7.3.4, 7.1.0 – 7.1.8, 7.0.0 – 7.0.4, 6.7.0 – 6.7.10 |
| Exploit Públicos | No confirmados |
| Referencia | Fortinet Advisory FG-IR-25-772 |
| Descripción | Vulnerabilidad de neutralización inadecuada de elementos especiales usados en un comando del sistema operativo (‘inyección de comandos OS’) en Fortinet FortiSIEM versiones 7.4.0, 7.3.0 a 7.3.4, 7.1.0 a 7.1.8, 7.0.0 a 7.0.4 y 6.7.0 a 6.7.10. Esta vulnerabilidad permite a un atacante ejecutar código o comandos no autorizados mediante solicitudes TCP manipuladas. |
| Evaluación | La vulnerabilidad permite ejecución remota de código no autorizado sin necesidad de autenticación, lo que representa un riesgo grave para la integridad y disponibilidad del sistema. Su explotación puede comprometer sistemas críticos de monitorización y gestión. |
| Estrategia | Aplicar inmediatamente los parches oficiales de Fortinet correspondientes a las versiones afectadas. Monitorizar tráfico TCP inusual y limitar acceso a FortiSIEM desde redes no confiables. Revisar logs para detectar actividad sospechosa y reforzar controles de firewall para restringir acceso. |
| CVE | CVE-2025-68271 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 20:16 (hora de España) |
| Vendor | OpenC3 |
| Producto | COSMOS |
| Versiones | 5.0.0 a 6.10.1 |
| Exploit Públicos | No confirmados |
| Referencia | Advisory Oficial OpenC3 Cosmos |
| Descripción | OpenC3 COSMOS proporciona la funcionalidad necesaria para enviar comandos y recibir datos de uno o más sistemas embebidos. Desde la versión 5.0.0 hasta la 6.10.1, COSMOS contiene una vulnerabilidad crítica de ejecución remota de código accesible a través de la API JSON-RPC. Cuando una petición JSON-RPC utiliza la forma de cadena de ciertas APIs, el texto de un parámetro controlado por el atacante se analiza mediante String#convert_to_value. Para entradas tipo arreglo, convert_to_value ejecuta eval(). Debido a que el camino de código cmd analiza la cadena de comandos antes de llamar a authorize(), un atacante no autenticado puede desencadenar la ejecución de código Ruby incluso si la petición finalmente falla la autorización (401). Esta vulnerabilidad se corrige en la versión 6.10.2. |
| Relevancia | Permite ejecución remota de código sin autenticación previa explotando la API JSON-RPC y el uso inseguro de eval() en parámetros. Riesgo crítico de compromiso completo incluso si no se autoriza la acción. |
| Estrategia | Actualizar inmediatamente a la versión 6.10.2 o superior para eliminar la vulnerabilidad. Reforzar los controles de acceso y monitorear tráfico JSON-RPC sospechoso para detectar intentos de explotación. Limitar la exposición de la API JSON-RPC a redes confiables. |
Enviar a un amigo:
Categories: Check Vulnerabilidades
