Resumen vulnerabilidades críticas – 25 elementos (17 ene 2026 Europe/Madrid)
sábado, 17 de enero de 2026
| CVE | Vendor | Producto | Severidad | VAfectadas | Exploit |
|---|---|---|---|---|---|
| CVE-2012-10064 | Omnilogic | AfectadoOmni Secure Files | Se está Explotando | No especificadas | No |
| CVE-2026-0899 | Chromium Project | Chromium V8 JavaScript Engine | Se está Explotando | Versiones afectadas de Chromium que usan V8 Engine previas al parche del 16 | Sí |
| CVE-2026-0900 | Chromium Project | AfectadoMotor V8 de Chromium | Se está Explotando | Versiones con motor V8 anteriores a la publicación del parche en enero 2026 | Sí |
| CVE-2026-0901 | AfectadoChromium (Blink rendering engine) | Se está Explotando | Versiones con Blink rendering engine previas al parche de enero 2026 | Sí | |
| CVE-2026-0902 | Chromium Project | Navegador Chromium (Motor V8) | Se está Explotando | Versiones con motor V8 sin parchear hasta enero 2026 | Sí |
| CVE-2026-0903 | Chromium Project | AfectadoChromium | Se está Explotando | Versiones anteriores al parche publicado el 16 | Sí |
| CVE-2026-0904 | Chromium Project (Google) | Chromium (Navegador web) | Se está Explotando | Versiones afectadas hasta la fecha de publicación (no especificadas con exactitud) | No |
| CVE-2026-0905 | Chromium Project | Chromium | Se está explotando | No especificadas, afecta múltiples versiones hasta parchear | Sí |
| CVE-2026-0906 | Chromium Project | AfectadoNavegador Chromium | Se esta Explotando | Versiones afectadas no especificadas en la referencia | No |
| CVE-2026-0907 | Chromium Project | AfectadoChromium (navegador web) | Se esta Explotando | Versiones afectadas no especificadas; se recomienda revisar actualizaciones recientes | Sí |
| CVE-2026-0908 | Chromium (componente ANGLE) | Se está Explotando | Versiones anteriores al parche del 16 | Sí | |
| CVE-2026-20960 | Microsoft | AfectadoPower Apps | Se está Explotando | No especificadas | Sí |
| CVE-2026-21223 | Microsoft | AfectadoMicrosoft Edge (Chromium-based) | Se está Explotando | Versiones previas a la actualización publicada el 16 | Sí |
| CVE-2025-64155 | Fortinet | AfectadoFortiSIEM | Se está Explotando | No especificadas, se asume todas las versiones afectadas deben ser parcheadas | Sí |
| CVE-2025-52665 | UniFi | Afectadoui_unifi_access | Se está Explotando | No especificadas | Sí |
| CVE-2025-60021 | Apache Software Foundation | Apache bRPC | CRITICAL (9.8) | todas las versiones anteriores a 1.15.0 | No |
| CVE-2025-14510 | *ABB | Afectado: *ABB Ability OPTIMAX | *CRITICAL (9.2) | *6.1, 6.2, desde 6.3.0 antes de 6.3.1-251120, desde 6.4.0 antes de 6.4.1-251120 | No |
| CVE-2026-21623 | Stackideas | Easy Discuss para Joomla | CRITICAL (9.4) | Versiones afectadas previas al parche disponible en https: | No |
| CVE-2026-21624 | StackIdeas | Easy Discuss para Joomla | CRITICAL (9.4) | Versiones anteriores al parche publicado tras 16 enero 2026 | No |
| CVE-2026-23523 | OpenAgentPlatform | Dive (MCP Host Desktop Application) | CRITICAL (9.6) | versiones anteriores a 0.13.0 | No |
| CVE-2012-10064 | Omni Secure Files | Omni Secure Files plugin | CRITICAL (9.3) | versiones anteriores a 0.1.14 | Sí |
| CVE-2026-23722 | WeGIA | WeGIA (Web Manager for Charitable Institutions) | CRITICAL (9.1) | Versiones anteriores a 3.6.2 | No |
| CVE-2026-23744 | MCPJam | AfectadoMCPJam inspector | CRITICAL (9.8) | versiones 1.4.2 y anteriores | No |
| CVE-2026-23800 | Modular DS | Afectadomodular-connector | CRITICAL (10) | Desde la 2.5.2 hasta antes de la 2.6.0 | No |
| CVE-2025-15403 | RegistrationMagic | Plugin para WordPress RegistrationMagic | CRITICAL (9.8) | todas las versiones hasta e incluyendo la 6.0.7.1 | No |
| CVE | CVE-2012-10064 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 2012 |
| Fabricante | Omnilogic |
| Producto Afectado | Omni Secure Files |
| Versiones Afectadas | No especificadas |
| Exploit Públicos | No confirmados |
| Referencia | VulnCheck CVE-2012-10064 |
| Descripción | Carga sin restricciones de archivos con tipos peligrosos en Omni Secure Files de Omnilogic, permitiendo a atacantes subir archivos potencialmente maliciosos sin una validación adecuada. Esto puede facilitar la ejecución de código malicioso y comprometer la seguridad del sistema afectado. |
| Estrategia | Aplicar inmediatamente parches oficiales de Omnilogic si están disponibles y restringir la carga de archivos solo a tipos seguros. Implementar validación estricta del lado servidor y monitorear intentos sospechosos de subida para prevenir explotación activa. |
| CVE | CVE-2026-0899 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Vendor | Chromium Project |
| Producto | Chromium V8 JavaScript Engine |
| Versiones | Versiones afectadas de Chromium que usan V8 Engine previas al parche del 16/01/2026 |
| Exploit Públicos | Sí, explotaciones confirmadas en entornos reales |
| Referencia | MSRC Actualización de Seguridad |
| Descripción | Chromium: Acceso a memoria fuera de límites en el motor V8, potencialmente conduciendo a corrupción de memoria o ejecución de código. |
| Estrategia | Aplicar inmediatamente el parche de seguridad oficial. Asegurar actualización de navegadores basados en Chromium para eliminar riesgo de ejecución remota de código. Monitorizar indicios de explotación en sistemas críticos. |
| CVE | CVE-2026-0900 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Fabricante | Chromium Project |
| Producto Afectado | Motor V8 de Chromium |
| Versiones Afectadas | Versiones con motor V8 anteriores a la publicación del parche en enero 2026 |
| Exploit Públicos | Sí, se están explotando activamente |
| Referencia | Microsoft Security Response Center</td |
| Descripción | Chromium: Implementación inapropiada en el motor V8 que puede conducir a problemas de seguridad. |
| Evaluación | Esta vulnerabilidad permite a atacantes explotar fallos en el motor de JavaScript V8 para ejecutar código malicioso, posiblemente comprometiendo la seguridad del navegador y los datos del usuario. La explotación activa confirma un riesgo real y urgente para cualquier sistema que utilice versiones afectadas. |
| Estrategia | Actualizar inmediatamente Chromium y todos los navegadores basados en V8 a la última versión parcheada. Implementar controles de seguridad adicionales, como sandboxing, y monitorizar activamente los sistemas para detectar signos de explotación. |
| CVE | CVE-2026-0901 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Fabricante | |
| Producto Afectado | Chromium (Blink rendering engine) |
| Versiones Afectadas | Versiones con Blink rendering engine previas al parche de enero 2026 |
| Exploit Públicos | Sí, se está explotando activamente |
| Referencia | Microsoft Update Guide |
| Descripción | Chromium: Implementación inapropiada en el motor de renderizado Blink, lo que puede afectar potencialmente la seguridad del navegador. |
| Importancia | Esta vulnerabilidad permite que atacantes puedan ejecutar código malicioso o evadir mecanismos de seguridad del navegador mediante la explotación de fallos en el motor Blink, comprometiendo la integridad y confidencialidad de la información del usuario. |
| Estrategia | Actualizar inmediatamente Chromium a la última versión que incluye el parche oficial. Además, revisar la configuración de seguridad del navegador para mitigar cualquier intento de explotación activa y monitorizar tráfico y actividad inusual relacionada con navegadores Chromium dentro de la red corporativa. |
| CVE | CVE-2026-0902 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Vendor | Chromium Project |
| Producto | Navegador Chromium (Motor V8) |
| Versiones | Versiones con motor V8 sin parchear hasta enero 2026 |
| Exploit Públicos | Sí, confirmados |
| Referencia | MSRC Update Guide |
| Descripción | Chromium: Implementación inapropiada en el motor V8 que puede afectar la integridad del navegador. |
| Estrategia | Actualizar inmediatamente Chromium a la versión parcheada con arreglo al CVE; monitorear actividad sospechosa para detección de explotación activa y restringir acceso a componentes críticos hasta confirmar mitigación. |
| CVE | CVE-2026-0903 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Fabricante | Chromium Project |
| Producto Afectado | Chromium |
| Versiones Afectadas | Versiones anteriores al parche publicado el 16/01/2026 |
| Exploit Públicos | Sí, confirmados y en explotación activa |
| Referencia | MSRC Microsoft Update Guide |
| Descripción | Chromium: Insufficient validation of untrusted input in Downloads, lo que podría permitir ataques mediante archivos maliciosos. |
| Estrategia | Actualizar inmediatamente a la última versión parcheada de Chromium publicada tras el 16/01/2026. En paralelo, restringir la ejecución automática o apertura de archivos descargados hasta validar su integridad y origen. Monitorizar tráfico y endpoints para detectar posibles exploits activos. |
| CVE | CVE-2026-0904 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Vendor | Chromium Project (Google) |
| Producto | Chromium (Navegador web) |
| Versiones | Versiones afectadas hasta la fecha de publicación (no especificadas con exactitud) |
| Exploit Públicos | No especificados |
| Referencia | MSRC Advisory |
| Descripción | Chromium presenta una interfaz de usuario de seguridad incorrecta en las credenciales digitales, lo que puede inducir a error a los usuarios respecto al estado real de seguridad de sus datos digitales. |
| Estrategia | Actualizar Chromium a la última versión oficial que corrige esta vulnerabilidad. Implementar monitoreo de actividades inusuales relacionadas con credenciales digitales y concienciar a los usuarios sobre posibles indicios de interfaz engañosa para evitar la explotación activa. |
| CVE | CVE-2026-0905 |
| Severidad | Se está explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Vendor | Chromium Project |
| Producto | Chromium |
| Versiones | No especificadas, afecta múltiples versiones hasta parchear |
| Exploit Públicos | Sí, explotación activa confirmada |
| Referencia | Microsoft Security Response Center</td |
| Descripción | Chromium presenta una aplicación insuficiente de políticas en la capa de red, lo que puede permitir un bypass de las políticas de seguridad de red. Esta vulnerabilidad podrá ser explotada para evadir controles de seguridad configurados, poniendo en riesgo la integridad de las comunicaciones y exponer la red corporativa a accesos no autorizados. |
| Estrategia | Actualizar inmediatamente Chromium a la última versión oficial que incluye el parche de seguridad. Revisar y reforzar políticas de seguridad de red para minimizar el impacto de bypass y monitorizar actividad sospechosa en el tráfico de red. Implementar detección de intrusiones y controles adicionales de red para mitigar el riesgo mientras se distribuye el parche. |
| CVE | CVE-2026-0906 |
| Severidad | Se esta Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Vendor | Chromium Project |
| Producto Afectado | Navegador Chromium |
| Versiones Afectadas | Versiones afectadas no especificadas en la referencia |
| Exploit Públicos | No especificado |
| Referencia | Guía oficial Microsoft</td |
| Descripción | Chromium presenta una interfaz de usuario de seguridad incorrecta que puede llevar a confusión en los usuarios sobre el estado real de seguridad del navegador. Esto puede ser explotado para engañar al usuario y hacerle confiar en conexiones o acciones inseguros, aumentando el riesgo de ataques dirigidos a través del navegador. |
| Estrategia | Aplicar inmediatamente las actualizaciones oficiales de Chromium que corrigen la interfaz de seguridad. Además, formar a los usuarios para que no confíen ciegamente en señales visuales y fortalecer la monitorización de actividades anómalas en el navegador para detectar posibles abusos de esta vulnerabilidad. |
| CVE | CVE-2026-0907 |
| Severidad | Se esta Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Fabricante | Chromium Project |
| Producto Afectado | Chromium (navegador web) |
| Versiones Afectadas | Versiones afectadas no especificadas; se recomienda revisar actualizaciones recientes |
| Exploit Públicos | Sí, se está explotando activamente |
| Referencia | MSRC Vulnerability Guide |
| Descripción | Chromium: Interfaz de usuario de seguridad incorrecta en Split View, que puede inducir a error sobre el estado de seguridad. |
| Estrategia | Actualizar de inmediato Chromium a la última versión disponible que solucione esta falla. Revisar la configuración de Split View y monitorear actividades sospechosas relacionadas con la interfaz de seguridad para detectar posibles engaños o explotaciones. |
| CVE | CVE-2026-0908 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Vendor | |
| Producto | Chromium (componente ANGLE) |
| Versiones | Versiones anteriores al parche del 16/01/2026 |
| Exploit Públicos | Sí, confirmados |
| Referencia | Microsoft Security Response Center</td |
| Descripción | Chromium: Use after free en ANGLE, que puede permitir ejecución remota de código o corrupción de memoria. |
| Estrategia | Actualizar inmediatamente Chromium a la última versión disponible que corrige esta vulnerabilidad. Monitorizar actividad anómala y posibles indicadores de compromiso. Limitar el acceso a funciones expuestas a ANGLE en entornos críticos para reducir el riesgo de explotación. |
| CVE | CVE-2026-20960 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Fabricante | Microsoft |
| Producto Afectado | Power Apps |
| Versiones Afectadas | No especificadas |
| Exploit Públicos | Sí, explotación activa confirmada |
| Referencia | Guía Oficial Microsoft</td |
| Descripción | Vulnerabilidad de ejecución remota de código en Microsoft Power Apps que permite a un atacante ejecutar código arbitrario de forma remota, comprometiendo así la integridad y control del entorno afectado. |
| Estrategia | Aplicar inmediatamente los parches oficiales proporcionados por Microsoft. Además, monitorear activamente indicadores de compromiso y reforzar controles de acceso para minimizar la superficie de ataque y detectar intentos de explotación temprana. |
| CVE | CVE-2026-21223 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Vendor | Microsoft |
| Producto Afectado | Microsoft Edge (Chromium-based) |
| Versiones Afectadas | Versiones previas a la actualización publicada el 16/01/2026 |
| Exploit Públicos | Sí, explotación confirmada activa |
| Referencia | Microsoft Security Response Center</td |
| Descripción | Vulnerabilidad de elusión en las funciones de seguridad de Microsoft Edge (basado en Chromium) que permite a atacantes evadir mecanismos de control de seguridad implementados en el navegador.
Esta vulnerabilidad puede ser explotada para evitar protección como sandboxing, controles de acceso o mecanismos anti-explotación, aumentando significativamente el riesgo de ejecución de código malicioso o escalada de privilegios en sistemas afectados. |
| Estrategia | Aplicar inmediatamente la actualización oficial publicada por Microsoft el 16/01/2026 que corrige esta vulnerabilidad. Además, reforzar controles de monitoreo para detectar intentos de explotación activa, limitar el uso de Edge a versiones parcheadas y mantener una política estricta de actualización de navegadores en la empresa. |
| CVE | CVE-2025-64155 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Fabricante | Fortinet |
| Producto Afectado | FortiSIEM |
| Versiones Afectadas | No especificadas, se asume todas las versiones afectadas deben ser parcheadas |
| Exploit Públicos | Sí, según reportes la vulnerabilidad está siendo explotada |
| Referencia | Detalle CVE KEV Browse FAQ KEV |
| Descripción | Vulnerabilidad en Fortinet FortiSIEM de Neutralización Inadecuada de Elementos Especiales utilizada en un Comando del Sistema Operativo (‘Inyección de Comandos OS’) que permite a atacantes remotos ejecutar comandos arbitrarios en el sistema operativo afectado. |
| Estrategia | Aplicar inmediatamente los parches oficiales publicados por Fortinet para FortiSIEM. Además, monitorizar tráfico y eventos inusuales que pudieran indicar intentos de explotación y restringir accesos remotos no autorizados al sistema afectado. |
| CVE | CVE-2025-52665 |
| Severidad | Se está Explotando |
| Importancia para la empresa | ALTA |
| Publicado | 16/01/2026 |
| Fabricante | UniFi |
| Producto Afectado | ui_unifi_access |
| Versiones Afectadas | No especificadas |
| Exploit Públicos | Sí |
| Referencia | Detalle CVE, KEV, FAQ Vulncheck |
| Descripción | Componente ui_unifi_access de UniFi Access presenta una vulnerabilidad de falta de autenticación para funciones críticas que permite el acceso no autorizado a funcionalidades esenciales. |
| Estrategia | Actualizar inmediatamente a la versión parcheada proporcionada por UniFi para corregir la autenticación. Mientras tanto, restringir el acceso a la interfaz afectada mediante redes seguras y monitorizar actividades sospechosas para detectar posibles explotaciones activas. |
| CVE | CVE-2025-60021 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | vie, 16 ene 2026, 10:16 (hora de España) |
| Vendor | Apache Software Foundation |
| Producto | Apache bRPC |
| Versiones | todas las versiones anteriores a 1.15.0 |
| Exploit Públicos | No confirmados |
| Referencia | Lista oficial Apache |
| Descripción | Vulnerabilidad de inyección remota de comandos en el servicio incorporado del perfilador de heap en Apache bRPC (todas las versiones anteriores a 1.15.0) en todas las plataformas permite a un atacante inyectar comandos remotos.
La causa raíz es que el servicio incorporado del perfilador de heap (/pprof/heap) de bRPC no valida el parámetro extra_options proporcionado por el usuario y lo ejecuta como argumento de línea de comandos. Los atacantes pueden ejecutar comandos remotos usando el parámetro extra_options. Escenarios afectados: uso del servicio incorporado del perfilador de heap de bRPC para realizar perfilado de memoria jemalloc. Cómo solucionarlo: se ofrecen dos métodos, puede elegir uno: 1. Actualice bRPC a la versión 1.15.0. |
| Estrategia | Priorizar la actualización inmediata a la versión 1.15.0 de Apache bRPC o aplicar el parche oficial. Es crítico mitigar esta vulnerabilidad dado que permite ejecución remota de comandos, lo que puede comprometer sistemas críticos. Monitorizar y restringir el acceso al servicio de perfilado y auditar los sistemas afectados para detectar posibles explotaciones. |
| *CVE: * | CVE-2025-14510 |
| *Severidad: * | CRITICAL (9.2) |
| *Importancia para la empresa:* | ALTA |
| *Publicado:* | vie, 16 ene 2026, 14:16 (hora de España) |
| *Fabricante:* | ABB |
| *Producto Afectado: * | ABB Ability OPTIMAX |
| *Versiones Afectadas: * | 6.1, 6.2, desde 6.3.0 antes de 6.3.1-251120, desde 6.4.0 antes de 6.4.1-251120 |
| *Exploit Públicos: * | No confirmados |
| *Referencia: * | ABB Advisory</td |
| *Descripción* | Vulnerabilidad por implementación incorrecta del algoritmo de autenticación en ABB ABB Ability OPTIMAX. Este problema afecta a ABB Ability OPTIMAX en las versiones 6.1, 6.2, desde la 6.3.0 hasta antes de la 6.3.1-251120 y desde la 6.4.0 hasta antes de la 6.4.1-251120. |
| Importancia de la vulnerabilidad | La mala implementación del algoritmo de autenticación puede permitir a un atacante eludir controles de acceso, comprometiendo la autenticidad de usuarios y permitiendo acceso no autorizado a funciones críticas del sistema. |
| *Estrategia: * | Aplicar de inmediato los parches oficiales de ABB para las versiones afectadas, actualizar a 6.3.1-251120 o superior y 6.4.1-251120 o superior. Controlar accesos administrativos y monitorizar actividades sospechosas en el sistema para detectar cualquier intento de explotación. |
| CVE | CVE-2026-21623 |
| Severidad | CRITICAL (9.4) |
| Importancia para la empresa | ALTA |
| Publicado | vie, 16 ene 2026, 16:15 (hora de España) |
| Vendor | Stackideas |
| Producto | Easy Discuss para Joomla |
| Versiones | Versiones afectadas previas al parche disponible en https://stackideas.com/easydiscuss |
| Exploit Públicos | No confirmados a fecha actual |
| Referencia | Stackideas Easy Discuss Official</td |
| Descripción | La falta de filtrado adecuado de entradas conduce a una vulnerabilidad XSS persistente en el manejo de publicaciones en foros del componente Easy Discuss para Joomla.
Esta vulnerabilidad permite a un atacante insertar código malicioso que se almacena y ejecuta en los navegadores de los usuarios afectados, comprometiendo la integridad y confidencialidad de la información. Puede ser explotada mediante la interacción directa de un usuario con contenido malicioso almacenado, lo que facilita ataques como robo de sesiones o manipulación de datos. |
| Estrategia | Actualizar inmediatamente Easy Discuss a la versión parcheada disponible en la referencia oficial. Implementar controles de validación y escape robustos en las entradas del foro y monitorizar posibles indicios de explotación activa para detectar ataques. |
| CVE | CVE-2026-21624 |
| Severidad | CRITICAL (9.4) |
| Importancia para la empresa | ALTA |
| Publicado | vie, 16 ene 2026, 16:15 (hora de España) |
| Vendor | StackIdeas |
| Producto | Easy Discuss para Joomla |
| Versiones | Versiones anteriores al parche publicado tras 16 enero 2026 |
| Exploit Públicos | No confirmados |
| Referencia | Sitio oficial de Easy Discuss |
| Descripción | La falta de filtrado de entrada conduce a una vulnerabilidad de XSS persistente en el manejo del texto del avatar de usuario del componente Easy Discuss para Joomla.
Esta vulnerabilidad permite que un atacante inserte código malicioso que se almacena en el avatar del usuario y se ejecuta en el navegador de otras víctimas, comprometiendo la seguridad y privacidad mediante la posible captura de sesiones o manipulación de datos. |
| Estrategia | Aplicar inmediatamente el parche oficial de Easy Discuss que corrige el fallo. Además, revisar y reforzar los controles de validación y saneamiento de las entradas de usuario relacionadas con los avatares. Monitorizar actividad inusual en la plataforma para detectar posibles ataques activos de XSS persistente. |
| CVE | CVE-2026-23523 |
| Severidad | CRITICAL (9.6) |
| Importancia para la empresa | ALTA |
| Publicado | vie, 16 ene 2026, 18:15 (hora de España) |
| Vendor | OpenAgentPlatform |
| Producto | Dive (MCP Host Desktop Application) |
| Versiones | versiones anteriores a 0.13.0 |
| Exploit Públicos | No reportados |
| Referencia | GitHub Fix Commit |
| Descripción | Dive es una aplicación de escritorio MCP Host open-source que permite la integración con LLMs que llaman funciones. En versiones anteriores a la 0.13.0, un deeplink manipulado puede instalar una configuración de servidor MCP controlada por un atacante sin confirmación suficiente del usuario, lo que puede llevar a la ejecución arbitraria de comandos locales en la máquina de la víctima. Esta vulnerabilidad está corregida en la versión 0.13.0. |
| Estrategia | Actualizar inmediatamente a la versión 0.13.0 o superior para eliminar la vulnerabilidad. Además, informar a los usuarios sobre la importancia de no aceptar configuraciones de fuentes no confiables y monitorizar posibles actividades sospechosas de ejecución local. Implementar controles de seguridad en el entorno para limitar el impacto en caso de explotación. |
| CVE | CVE-2012-10064 |
| Severidad | CRITICAL (9.3) |
| Importancia para la empresa | ALTA |
| Publicado | vie, 16 ene 2026, 21:15 (hora de España) |
| Vendor | Omni Secure Files |
| Producto | Omni Secure Files plugin |
| Versiones | versiones anteriores a 0.1.14 |
| Exploit Públicos | Sí, disponibles |
| Referencia | Packet Storm Advisory |
| Descripción | Las versiones anteriores a 0.1.14 del plugin Omni Secure Files contienen una vulnerabilidad de subida arbitraria de archivos en el endpoint de ejemplo integrado plupload. El handler ubicado en /wp-content/plugins/omni-secure-files/plupload/examples/upload.php permite cargas sin autenticación y sin restringir los tipos de archivos seguros, habilitando a un atacante a colocar archivos controlados por él en el directorio de subida del plugin. Esto puede derivar en ejecución remota de código si se sube un archivo ejecutable y luego es accedido. |
| Estrategia | Actualizar inmediatamente a la versión 0.1.14 o superior que corrige esta vulnerabilidad, restringir las cargas de archivos solo a tipos seguros y monitorizar accesos sospechosos a archivos subidos. Implementar controles adicionales de autenticación para las cargas y revisar los logs para detectar intentos de explotación activos. |
| CVE | CVE-2026-23722 |
| Severidad | CRITICAL (9.1) |
| Importancia para la empresa | ALTA |
| Publicado | vie, 16 ene 2026, 21:15 (hora de España) |
| Vendor | WeGIA |
| Producto | WeGIA (Web Manager for Charitable Institutions) |
| Versiones | Versiones anteriores a 3.6.2 |
| Exploit Públicos | No confirmados |
| Referencia | Aviso de seguridad WeGIA |
| Descripción | WeGIA es un Gestor Web para Instituciones Benéficas. En versiones anteriores a la 3.6.2, se descubrió una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el archivo html/memorando/insere_despacho.php. La aplicación no sanitiza ni codifica adecuadamente la entrada suministrada por el usuario mediante el parámetro GET id_memorando antes de reflejarla en el código HTML, probablemente dentro de un bloque <script> o atributo. Esto permite a atacantes no autenticados inyectar JavaScript o HTML arbitrario en el contexto de la sesión del navegador del usuario. Esta vulnerabilidad está corregida en la versión 3.6.2. |
| Importancia | La vulnerabilidad permite explotación remota sin autenticación para inyectar código malicioso en sesiones de usuario, lo que puede derivar en robo de credenciales, secuestro de sesión o ataques dirigidos a empleados y socios mediante la interacción con enlaces maliciosos. |
| Estrategia | Actualizar inmediatamente a la versión 3.6.2 o superior que corrige la vulnerabilidad. Paralelamente, aplicar filtros y sanitización estricta en entradas web, utilizar CSP para limitar ejecución de scripts y monitorizar actividad anómala para detectar posibles intentos de explotación. |
| CVE | CVE-2026-23744 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | vie, 16 ene 2026, 21:15 (hora de España) |
| Fabricante | MCPJam |
| Producto Afectado | MCPJam inspector |
| Versiones Afectadas | versiones 1.4.2 y anteriores |
| Exploit Públicos | No reportados |
| Referencia | GitHub Commit Oficial MCPJam inspector |
| Descripción | MCPJam inspector es la plataforma de desarrollo local-first para servidores MCP. Las versiones 1.4.2 y anteriores son vulnerables a una ejecución remota de código (RCE), que permite a un atacante enviar una petición HTTP manipulada que desencadena la instalación remota de un servidor MCP y consecuente RCE. Por defecto, MCPJam inspector escucha en 0.0.0.0 en lugar de 127.0.0.1, permitiendo la explotación remota con una petición HTTP simple. La versión 1.4.3 corrige esta vulnerabilidad. |
| Impacto | La explotación remota por una petición HTTP maliciosa puede comprometer servidores MCP instalando código arbitrario, poniendo en riesgo la integridad y control completo del sistema afectado. |
| Estrategia | Actualizar inmediatamente MCPJam inspector a la versión 1.4.3 o superior para mitigar la vulnerabilidad. Adicionalmente, restringir el acceso a la interfaz de administración para que no escuche en todas las interfaces (0.0.0.0), limitando a localhost (127.0.0.1) o a redes seguras internas, y monitorizar tráfico HTTP anómalo para detección temprana de intentos de explotación. |
| CVE | CVE-2026-23800 |
| Severidad | CRITICAL (10) |
| Importancia para la empresa | ALTA |
| Publicado | vie, 16 ene 2026, 22:15 (hora de España) |
| Fabricante | Modular DS |
| Producto Afectado | modular-connector |
| Versiones Afectadas | Desde la 2.5.2 hasta antes de la 2.6.0 |
| Exploit Públicos | No confirmados |
| Referencia | Patchstack Advisory |
| Descripción | Vulnerabilidad de asignación incorrecta de privilegios en Modular DS modular-connector que permite la escalada de privilegios. Este problema afecta a Modular DS: desde la versión 2.5.2 hasta antes de la 2.6.0. |
| Importancia | Esta vulnerabilidad permite a un atacante legítimo o con acceso reducido aumentar sus privilegios, obteniendo control mayor dentro del sistema comprometido, lo que puede derivar en acceso a datos sensibles o control completo del entorno. |
| Estrategia | Actualizar inmediatamente a la versión 2.6.0 o superior y revisar la asignación de roles y privilegios en el sistema; monitorizar accesos inusuales que puedan indicar explotación. Limitar acceso a usuarios no confiables mientras se despliega el parche. |
| CVE | CVE-2025-15403 |
| Severidad | CRITICAL (9.8) |
| Importancia para la empresa | ALTA |
| Publicado | sáb, 17 ene 2026, 04:16 (hora de España) |
| Vendor | RegistrationMagic |
| Producto | Plugin para WordPress RegistrationMagic |
| Versiones | todas las versiones hasta e incluyendo la 6.0.7.1 |
| Exploit Públicos | No se reportan exploits públicos confirmados |
| Referencia | Ver código vulnerable |
| Descripción | El plugin RegistrationMagic para WordPress es vulnerable a una escalada de privilegios en todas las versiones hasta e incluyendo la 6.0.7.1. Esto se debe a que la función ‘add_menu’ es accesible vía la acción AJAX ‘rm_user_exists’, permitiendo actualizaciones arbitrarias del parámetro ‘admin_order’. Atacantes no autenticados pueden inyectar un slug vacío en el parámetro de orden y manipular la lógica de generación de menús del plugin, de modo que al construirse el menú administrativo, se añada la capacidad ‘manage_options’ al rol objetivo. Para un aumento adicional de privilegios se necesita al menos un usuario suscriptor. |
| Importancia Operativa | Esta vulnerabilidad permite que un atacante no autenticado manipule la configuración interna del plugin para escalar privilegios y obtener permisos administrativos, comprometiendo la seguridad del sitio WordPress. Es crítico detectar si existen accesos inusuales que utilicen la acción AJAX mencionada. |
| Estrategia | Actualizar inmediatamente a la versión corregida superior a la 6.0.7.1. En caso de no poder parchear, restringir el acceso a la acción AJAX ‘rm_user_exists’ y monitorear patrones anómalos de acceso. Revisar roles y permisos para detectar escaladas y reforzar la gestión de usuarios. |
Enviar a un amigo:
Categories: Check Vulnerabilidades
