Inicio
>
Check Vulnerabilidades > Resumen vulnerabilidades críticas – 9 elementos (15 ene 2026 Europe/Madrid)
Resumen vulnerabilidades críticas – 9 elementos (15 ene 2026 Europe/Madrid)
| CVE |
Vendor |
Producto |
Severidad |
VAfectadas |
Exploit |
| CVE-2026-23550 |
No especificado (en análisis) |
AfectadoNo especificado (en análisis) |
Se está Explotando |
No especificadas |
No |
| CVE-2026-20805 |
Microsoft |
AfectadoMicrosoft Windows (Windows 10, Windows 11, Windows Server 2012 R2, 2019 y 2022) |
Se está Explotando |
Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2019, Windows Server 2022 |
Sí |
| CVE-2026-23550 |
Modular DS |
AfectadoModular DS |
CRITICAL (10) |
desde versiones iniciales hasta 2.5.1 |
No |
| CVE-2026-22236 |
BLUVOYIX |
BLUVOYIX backend APIs |
CRITICAL (10) |
No especificadas |
No |
| CVE-2026-22237 |
BLUSPARK GLOBAL |
BLUVOYIX |
CRITICAL (10) |
No especificadas |
No |
| CVE-2026-22238 |
BLUVOYIX |
AfectadoBLUVOYIX Admin APIs |
CRÍTICA (10) |
No especificadas |
No |
| CVE-2026-22239 |
BLUVOYIX |
AfectadoAPI de envío de correo electrónico de BLUVOYIX |
CRITICAL (10) |
No especificadas, se recomienda revisar versiones actuales |
No |
| CVE-2026-22240 |
BLUVOYIX |
BLUVOYIX |
CRITICAL (10) |
No especificadas |
No |
| CVE-2025-70968 |
FreeImage |
FreeImage |
CRITICAL (9.8) |
3.18.0 |
Sí |
| CVE |
CVE-2026-23550 |
| Severidad |
Se está Explotando |
| Importancia para la empresa |
ALTA |
| Publicado |
14/01/2026 |
| Fabricante |
No especificado (en análisis) |
| Producto Afectado |
No especificado (en análisis) |
| Versiones Afectadas |
No especificadas |
| Exploit Públicos |
No confirmado |
| Referencia |
CVE-2026-23550
KEV
FAQ KEV |
| Descripción |
Vulnerabilidad de asignación incorrecta de privilegios en un producto y fabricante no especificados actualmente bajo análisis. Esta vulnerabilidad permite que usuarios no autorizados ganen privilegios elevados, lo que puede derivar en accesos no legítimos a funciones o datos críticos. |
| Estrategia |
Monitorear activamente fuentes oficiales para actualización de detalles y parches. Aplicar controles estrictos de gestión de privilegios y segmentación de accesos. Preparar planes de respuesta rápida ante explotación, dado que ya se está explotando. Actualizar e instalar parches tan pronto como se publiquen. |
| CVE |
CVE-2026-20805 |
| Severidad |
Se está Explotando |
| Importancia para la empresa |
ALTA |
| Publicado |
14/01/2026 |
| Vendor |
Microsoft |
| Producto Afectado |
Microsoft Windows (Windows 10, Windows 11, Windows Server 2012 R2, 2019 y 2022) |
| Versiones Afectadas |
Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2019, Windows Server 2022 |
| Exploit Públicos |
Sí, explotación activa confirmada |
| Referencia |
Microsoft CVE Details, Microsoft Exposure Recommendations, CVE Official Record |
| Descripción |
Vulnerabilidad en Microsoft Windows (incluyendo Windows 10, Windows 11, Windows Server 2012 R2, 2019 y 2022) con un puntaje CVSS de 5.5 que afecta a 387 dispositivos expuestos. Detalles específicos de la vulnerabilidad no proporcionados en el correo. |
| Evaluación |
Aunque los detalles técnicos son limitados, la vulnerabilidad está siendo activamente explotada y afecta a sistemas ampliamente distribuidos en la empresa, representando un riesgo real de compromiso. Es prioritario considerarla para acciones inmediatas. |
| Estrategia |
Aplicar urgentemente los parches oficiales emitidos por Microsoft para todas las versiones afectadas. Adicionalmente, monitorizar активности inusual en los sistemas afectados y reforzar controles perimetrales para detectar intentos de explotación. |
| CVE |
CVE-2026-23550 |
| Severidad |
CRITICAL (10) |
| Importancia para la empresa |
ALTA |
| Publicado |
mié, 14 ene 2026, 10:16 (hora de España) |
| Fabricante |
Modular DS |
| Producto Afectado |
Modular DS |
| Versiones Afectadas |
desde versiones iniciales hasta 2.5.1 |
| Exploit Públicos |
No confirmados |
| Referencia |
Aviso de Seguridad Modular DS</td |
| Descripción |
Vulnerabilidad de asignación incorrecta de privilegios en Modular DS que permite la escalada de privilegios. Este problema afecta a Modular DS: desde versiones iniciales hasta la 2.5.1.
Esta vulnerabilidad puede ser explotada por un atacante con acceso limitado para elevar sus privilegios, comprometiendo la seguridad del sistema y potencialmente tomando control completo. No se han confirmado exploits públicos, pero la gravedad y facilidad de explotación requieren atención inmediata. |
| Estrategia |
Actualizar inmediatamente a la versión 2.5.2 o superior que corrige la vulnerabilidad. En paralelo, revisar y restringir los permisos de usuarios y procesos para minimizar el riesgo, además de monitorizar cualquier comportamiento anómalo que indique intento de escalada de privilegios. |
| CVE |
CVE-2026-22236 |
| Severidad |
CRITICAL (10) |
| Importancia para la empresa |
ALTA |
| Publicado |
mié, 14 ene 2026, 16:16 (hora de España) |
| Vendor |
BLUVOYIX |
| Producto |
BLUVOYIX backend APIs |
| Versiones |
No especificadas |
| Exploit Públicos |
No confirmados |
| Referencia |
BLUVOYIX Advisory |
| Descripción |
La vulnerabilidad existe en BLUVOYIX debido a una autenticación inapropiada en las APIs backend de BLUVOYIX. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando peticiones HTTP especialmente diseñadas a las APIs vulnerables. La explotación exitosa podría permitir al atacante obtener acceso completo a los datos de los clientes y comprometer por completo la plataforma objetivo. |
| Estrategia |
Aplicar inmediatamente el parche oficial o actualización proporcionada por BLUVOYIX que corrige la autenticación en las APIs backend. En paralelo, restringir accesos directos a las APIs mediante firewall y monitorizar tráfico irregular para detectar posibles intentos de explotación no autenticada. |
| CVE |
CVE-2026-22237 |
| Severidad |
CRITICAL (10) |
| Importancia para la empresa |
ALTA |
| Publicado |
mié, 14 ene 2026, 16:16 (hora de España) |
| Vendor |
BLUSPARK GLOBAL |
| Producto |
BLUVOYIX |
| Versiones |
No especificadas |
| Exploit Públicos |
No confirmados |
| Referencia |
BLUVOYIX Advisory |
| Descripción |
La vulnerabilidad existe en BLUVOYIX debido a la exposición de documentación interna sensible de la API. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas a las APIs expuestas por dicha documentación. La explotación exitosa podría permitir al atacante causar daños en la plataforma objetivo mediante el abuso de funcionalidades internas. |
| Estrategia |
Eliminar o restringir el acceso a la documentación interna de las APIs expuestas, implementar autenticación estricta sobre dichas APIs y monitorizar tráfico anómalo para detectar intentos de explotación. Aplicar parches o actualizaciones del fabricante en cuanto estén disponibles. |
| CVE |
CVE-2026-22238 |
| Severidad |
CRÍTICA (10) |
| Importancia para la empresa |
ALTA |
| Publicado |
mié, 14 ene 2026, 16:16 (hora de España) |
| Fabricante |
BLUVOYIX |
| Producto Afectado |
BLUVOYIX Admin APIs |
| Versiones Afectadas |
No especificadas |
| Exploit Públicos |
No confirmados |
| Referencia |
BLUVOYIX Advisory |
| Descripción |
La vulnerabilidad existe en BLUVOYIX debido a una autenticación inapropiada en las APIs administrativas de BLUVOYIX. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando peticiones HTTP especialmente diseñadas a la API administrativa vulnerable para crear un nuevo usuario con privilegios administrativos. La explotación exitosa podría permitir al atacante obtener acceso completo a los datos de los clientes y comprometer totalmente la plataforma afectada al iniciar sesión con el usuario administrador recién creado. |
| Estrategia |
Aplicar inmediatamente los parches oficiales proporcionados por BLUVOYIX. Mientras se actualiza, restringir el acceso a las APIs administrativas mediante firewalls o listas blancas de IP, y monitorizar activamente cualquier creación inusual de usuarios administrativos para detectar intentos de explotación en tiempo real. |
| CVE |
CVE-2026-22239 |
| Severidad |
CRITICAL (10) |
| Importancia para la empresa |
ALTA |
| Publicado |
mié, 14 ene 2026, 16:16 (hora de España) |
| Fabricante |
BLUVOYIX |
| Producto Afectado |
API de envío de correo electrónico de BLUVOYIX |
| Versiones Afectadas |
No especificadas, se recomienda revisar versiones actuales |
| Exploit Públicos |
No confirmados |
| Referencia |
BLUVOYIX Advisory |
| Descripción |
Existe una vulnerabilidad en BLUVOYIX debido a fallos de diseño en la API de envío de correos electrónicos. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas a la API vulnerable. La explotación exitosa permitiría al atacante enviar correos no solicitados en nombre de la empresa. |
| Estrategia |
Aplicar inmediatamente cualquier parche oficial disponible para la API de BLUVOYIX. Restringir el acceso a la API de envío de correos mediante autenticación y filtros de IP. Monitorizar tráfico inusual para detectar solicitudes HTTP maliciosas y enviar alertas tempranas sobre intentos de explotación. |
| CVE |
CVE-2026-22240 |
| Severidad |
CRITICAL (10) |
| Importancia para la empresa |
ALTA |
| Publicado |
mié, 14 ene 2026, 16:16 (hora de España) |
| Vendor |
BLUVOYIX |
| Producto |
BLUVOYIX |
| Versiones |
No especificadas |
| Exploit Públicos |
No confirmado |
| Referencia |
BLUVOYIX Advisory |
| Descripción |
La vulnerabilidad existe en BLUVOYIX debido a una implementación inadecuada del almacenamiento de contraseñas y una exposición subsiguiente a través de APIs no autenticadas. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas al API de usuarios vulnerable para recuperar las contraseñas en texto plano de todos los usuarios. La explotación exitosa podría permitir al atacante obtener acceso total a los datos de los clientes y comprometer completamente la plataforma objetivo iniciando sesión con un correo electrónico y contraseña de administrador expuestos. |
| Estrategia |
Aplicar inmediatamente parches oficiales que corrijan la gestión de almacenamiento de contraseñas y restrinjan el acceso a APIs vulnerables mediante autenticación robusta. Además, monitorear accesos anómalos y reforzar controles de acceso a datos sensibles para prevenir explotación activa. |
| CVE |
CVE-2025-70968 |
| Severidad |
CRITICAL (9.8) |
| Importancia para la empresa |
ALTA |
| Publicado |
mié, 14 ene 2026, 18:16 (hora de España) |
| Vendor |
FreeImage |
| Producto |
FreeImage |
| Versiones |
3.18.0 |
| Exploit Públicos |
Confirmados y disponibles públicamente |
| Referencia |
GitHub – Exploit PoC</td |
| Descripción |
FreeImage 3.18.0 contiene una vulnerabilidad de Use After Free en PluginTARGA.cpp; loadRLE(). |
| Análisis |
La vulnerabilidad permite que un atacante remoto ejecute código arbitrario al manipular cargas RLE en imágenes TARGA, explotando el acceso a memoria liberada para causar corrupción o ejecución remota. Dado que existen exploits públicos, la amenaza es inmediata y directa. |
| Estrategia |
Actualizar a versión corregida si está disponible o reemplazar FreeImage por otra librería; si no hay parche, aislar el procesamiento de imágenes TARGA y limitar la exposición de servicios que usan FreeImage. Monitorear intentos de explotación activa y aplicar defensas de sandboxing para mitigar el riesgo. |
Enviar a un amigo:
Me gusta esto:
Me gusta Cargando...
Comentarios cerrados.
