Archivo

Archivo para la categoría ‘Seguridad’

Resumen vulnerabilidades críticas – 2 elementos (18 ene 2026 Europe/Madrid)

domingo, 18 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2019-25297 Opinion Stage AfectadoPoll, Survey & Quiz Maker Plugin Se está explotando No especificadas explícitamente
CVE-2025-10484 WooCommerce Registration & Login with Mobile Phone Number for WooCommerce plugin para WordPress CRITICAL (9.8) Todas las versiones hasta e incluyendo la 1.3.1 No
CVE CVE-2019-25297
Severidad Se está explotando
Importancia para la empresa ALTA
Publicado 2019
Fabricante Opinion Stage
Producto Afectado Poll, Survey & Quiz Maker Plugin
Versiones Afectadas No especificadas explícitamente
Exploit Públicos Sí, existen pruebas de explotación activa
Referencia CVE-2019-25297 Vulncheck
Descripción Vulnerabilidad de Neutralización Inadecuada de Entrada durante la Generación de Páginas Web (‘Cross-site Scripting’) en el plugin Poll, Survey & Quiz Maker de Opinion Stage, que permite a atacantes inyectar scripts maliciosos. Esto puede ser explotado para ejecutar código malicioso en navegadores de usuarios, comprometiendo la confidencialidad e integridad de la información.
Estrategia Actualizar inmediatamente el plugin a la versión que corrige esta vulnerabilidad. Si el parche no está disponible, desactivar el plugin afectado para evitar explotación. Implementar controles de validación y escape estricto de entradas en las interfaces web y monitorizar activamente intentos de explotación para detectar ataques en curso.
CVE CVE-2025-10484
Severidad CRITICAL (9.8)
Importancia para la empresa ALTA
Publicado sáb, 17 ene 2026, 10:15 (hora de España)
Vendor WooCommerce
Producto Registration & Login with Mobile Phone Number for WooCommerce plugin para WordPress
Versiones Todas las versiones hasta e incluyendo la 1.3.1
Exploit Públicos No confirmados
Referencia Sitio oficial del plugin
Descripción El plugin Registration & Login with Mobile Phone Number para WooCommerce en WordPress es vulnerable a una omisión de autenticación en todas las versiones hasta la 1.3.1 inclusive. Esto se debe a que el plugin no verifica correctamente la identidad del usuario antes de autenticarlo mediante la función fma_lwp_set_session_php_fun(). Esto permite que atacantes no autenticados se autentiquen como cualquier usuario del sitio, incluidos administradores, sin necesidad de una contraseña válida.
Impacto Esta vulnerabilidad permite acceso completo no autorizado, lo que puede provocar compromisos críticos en la integridad y confidencialidad de los datos del sitio web, facilitando el control total por parte de atacantes.
Estrategia Actualizar inmediatamente el plugin a una versión parcheada superior a la 1.3.1 cuando esté disponible. Mientras tanto, restringir el uso del plugin o implementar controles adicionales de autenticación y monitorización de accesos para detectar intentos de explotación.
Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Resumen vulnerabilidades críticas – 25 elementos (17 ene 2026 Europe/Madrid)

sábado, 17 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2012-10064 Omnilogic AfectadoOmni Secure Files Se está Explotando No especificadas No
CVE-2026-0899 Chromium Project Chromium V8 JavaScript Engine Se está Explotando Versiones afectadas de Chromium que usan V8 Engine previas al parche del 16
CVE-2026-0900 Chromium Project AfectadoMotor V8 de Chromium Se está Explotando Versiones con motor V8 anteriores a la publicación del parche en enero 2026
CVE-2026-0901 Google AfectadoChromium (Blink rendering engine) Se está Explotando Versiones con Blink rendering engine previas al parche de enero 2026
CVE-2026-0902 Chromium Project Navegador Chromium (Motor V8) Se está Explotando Versiones con motor V8 sin parchear hasta enero 2026
CVE-2026-0903 Chromium Project AfectadoChromium Se está Explotando Versiones anteriores al parche publicado el 16
CVE-2026-0904 Chromium Project (Google) Chromium (Navegador web) Se está Explotando Versiones afectadas hasta la fecha de publicación (no especificadas con exactitud) No
CVE-2026-0905 Chromium Project Chromium Se está explotando No especificadas, afecta múltiples versiones hasta parchear
CVE-2026-0906 Chromium Project AfectadoNavegador Chromium Se esta Explotando Versiones afectadas no especificadas en la referencia No
CVE-2026-0907 Chromium Project AfectadoChromium (navegador web) Se esta Explotando Versiones afectadas no especificadas; se recomienda revisar actualizaciones recientes
CVE-2026-0908 Google Chromium (componente ANGLE) Se está Explotando Versiones anteriores al parche del 16
CVE-2026-20960 Microsoft AfectadoPower Apps Se está Explotando No especificadas
CVE-2026-21223 Microsoft AfectadoMicrosoft Edge (Chromium-based) Se está Explotando Versiones previas a la actualización publicada el 16
CVE-2025-64155 Fortinet AfectadoFortiSIEM Se está Explotando No especificadas, se asume todas las versiones afectadas deben ser parcheadas
CVE-2025-52665 UniFi Afectadoui_unifi_access Se está Explotando No especificadas
CVE-2025-60021 Apache Software Foundation Apache bRPC CRITICAL (9.8) todas las versiones anteriores a 1.15.0 No
CVE-2025-14510 *ABB Afectado: *ABB Ability OPTIMAX *CRITICAL (9.2) *6.1, 6.2, desde 6.3.0 antes de 6.3.1-251120, desde 6.4.0 antes de 6.4.1-251120 No
CVE-2026-21623 Stackideas Easy Discuss para Joomla CRITICAL (9.4) Versiones afectadas previas al parche disponible en https: No
CVE-2026-21624 StackIdeas Easy Discuss para Joomla CRITICAL (9.4) Versiones anteriores al parche publicado tras 16 enero 2026 No
CVE-2026-23523 OpenAgentPlatform Dive (MCP Host Desktop Application) CRITICAL (9.6) versiones anteriores a 0.13.0 No
CVE-2012-10064 Omni Secure Files Omni Secure Files plugin CRITICAL (9.3) versiones anteriores a 0.1.14
CVE-2026-23722 WeGIA WeGIA (Web Manager for Charitable Institutions) CRITICAL (9.1) Versiones anteriores a 3.6.2 No
CVE-2026-23744 MCPJam AfectadoMCPJam inspector CRITICAL (9.8) versiones 1.4.2 y anteriores No
CVE-2026-23800 Modular DS Afectadomodular-connector CRITICAL (10) Desde la 2.5.2 hasta antes de la 2.6.0 No
CVE-2025-15403 RegistrationMagic Plugin para WordPress RegistrationMagic CRITICAL (9.8) todas las versiones hasta e incluyendo la 6.0.7.1 No

Leer más…

Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Resumen vulnerabilidades críticas – 40 elementos (16 ene 2026 Europe/Madrid)

viernes, 16 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2023-7334 Changjetong Information Technology Co., Ltd. T+ Se está Explotando No especificadas No
CVE-2011-10041 Steven AfectadoUploadify Se está Explotando No especificadas (revisar versiones previas a la actualización oficial) Confirmados con evidencia activa
CVE-2021-36901 AsylumDigital age_gate Se está Explotando No especificadas No
CVE-2024-2863 LG lg_led_assistant Se está Explotando No especificado
CVE-2017-17762 Episerver Episerver Se está explotando No especificadas explícitamente
CVE-2021-25281 * SaltStack Afectado:* Salt * Se está explotando * Versiones anteriores a la corrección aplicada en 2021 (detalles específicos deben consultarse en el aviso oficial)
CVE-2025-63387 Langgenius Afectadodify Se está Explotando No especificadas No
CVE-2025-55749 XWiki XWiki (Plataforma colaborativa) Se está Explotando Versiones anteriores a la corrección divulgada en 2025 (detalles específicos deben consultarse en el vendor)
CVE-2020-26836 SAP Afectadosolution_manager Se está Exploitando No especificadas explícitamente ando
CVE-2025-68645 Zimbra afectadoZimbra Collaboration Se está Explotando No especificadas, se recomienda verificar versiones PHP usadas en Zimbra Collaboration
CVE-2026-22907 Sick AG Software no especificado de Sick AG CRITICAL (9.9) No especificadas No
CVE-2026-22908 Sick AG AfectadoPlataforma de gestión de contenedores Sick Container Manager CRITICAL (9.1) Versiones anteriores a 3.2.0 No
CVE-2021-47753 phpKF AfectadophpKF CMS 3.00 Beta y6 CRITICAL (9.3) 3.00 Beta y6
CVE-2021-47819 ProjeQtOr ProjeQtOr Project Management CRITICAL (9.3) 9.1.4
CVE-2025-67079 Omnispace Agora Project CRITICAL (9.8) versiones anteriores a 25.10 No
CVE-2025-62193 NOAA PMEL Live Access Server (LAS) CRITICAL (9.3) No especificadas, afectadas hasta el 2025-09-24 No
CVE-2026-23520 Arcane Arcane (gestión moderna de Docker) CRITICAL (9) versiones anteriores a 1.13.0 No
CVE-2026-23746 Entrust Instant Financial Issuance (IFI) On Premise (anteriormente CardWizard) CRITICAL (9.3) versiones 5.x, anteriores a 6.10.5 y anteriores a 6.11.1
CVE-2025-70892 Phpgurukul Cyber Cafe Management System CRITICAL (9.8) v1.0
CVE-2011-10041 Uploadify Plugin WordPress Uploadify CRITICAL (9.3) Hasta la 1.0 inclusive
CVE-2023-7334 Changjetong T+ CRITICAL (9.3) Versiones hasta e incluyendo 16.x Confirmados por Shadowserver Foundation
CVE-2026-1009 Altium Altium Forum (dentro de Altium 365) CRITICAL (9) Versiones previas a la corrección oficial (no especificadas) No
CVE-2026-22863 Deno Land AfectadoDeno (JavaScript, TypeScript, y WebAssembly runtime) CRITICAL (9.2) versiones anteriores a 2.6.0 No
CVE-2021-47796 Denver SHC-150 Smart Wifi Camera CRITICAL (9.3) No especificadas (probablemente todas las versiones del modelo afectado)
CVE-2021-47812 Grav CMS Team GravCMS CRITICAL (9.3) 1.10.7
CVE-2025-14231 Canon Satera LBP670C Series, Satera MF750C Series, Color imageCLASS LBP630C CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14232 Canon AfectadoSatera LBP670C Series, Satera MF750C Series, Color imageCLASS LBP630C, Color imageCLASS MF650C Series, imageCLASS LBP230 Series, imageCLASS X LBP1238 II, imageCLASS MF450 Series, imageCLASS X MF1238 II, imageCLASS X MF1643i II, imageCLASS X MF1643iF II, i-SENSYS LBP630C Series, i-SENSYS MF650C Series, i-SENSYS LBP230 Series, 1238P II, 1238Pr II, i-SENSYS MF450 Series, i-SENSYS MF550 Series, 1238i II, 1238iF II, imageRUNNER 1643i II, imageRUNNER 1643iF II CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14233 Canon Satera LBP670C Series, Satera MF750C Series, Color imageCLASS LBP630C, Color imageCLASS MF650C Series, imageCLASS LBP230 Series, imageCLASS X LBP1238 II, imageCLASS MF450 Series, imageCLASS X MF1238 II, imageCLASS X MF1643i II, imageCLASS X MF1643iF II, i-SENSYS LBP630C Series, i-SENSYS MF650C Series, i-SENSYS LBP230 Series, 1238P II, 1238Pr II, i-SENSYS MF450 Series, i-SENSYS MF550 Series, 1238i II, 1238iF II, imageRUNNER 1643i II, imageRUNNER 1643iF II CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14234 Canon Inc. Satera LBP670C Series, Satera MF750C Series (Japón), Color imageCLASS LBP630C, MF650C Series, LBP230 Series, imageCLASS X LBP1238 II, MF450 Series, MF1238 II, MF1643i II, MF1643iF II (EE.UU.), i-SENSYS LBP630C Series, MF650C Series, LBP230 Series, 1238P II, 1238Pr II, MF450 Series, MF550 Series, 1238i II, 1238iF II, imageRUNNER 1643i II, 1643iF II (Europa) CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14235 Canon Satera, Color imageCLASS, i-SENSYS, imageRUNNER Series de impresoras multifunción y láser CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14236 Canon Inc. Small Office Multifunction Printers: Satera LBP670C Series, Satera MF750C Series, Color imageCLASS LBP630C, MF650C Series, LBP230 Series, X LBP1238 II, MF450 Series, X MF1238 II, X MF1643i II, X MF1643iF II, i-SENSYS LBP630C Series, MF650C Series, LBP230 Series, 1238P II, 1238Pr II, MF450 Series, MF550 Series, 1238i II, 1238iF II, imageRUNNER 1643i II, imageRUNNER 1643iF II CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14237 Canon AfectadoSatera LBP670C Series, Satera MF750C Series, Color imageCLASS LBP630C, MF650C Series, LBP230 Series, X LBP1238 II, MF450 Series, X MF1238 II, X MF1643i II, X MF1643iF II, i-SENSYS LBP630C Series, MF650C Series, LBP230 Series, 1238P II, 1238Pr II, MF450 Series, MF550 Series, 1238i II, 1238iF II, imageRUNNER 1643i II, 1643iF II CRITICAL (9.3) Firmware v06.02 y versiones anteriores vendidas en Japón, EE.UU. y Europa No
CVE-2025-61937 Modelo – fabricante no especificado AfectadoServidor de aplicación modelo (model application server) CRITICAL (10) No especificadas No
CVE-2025-61943 Emerson Process Management AfectadoCaptive Historian CRITICAL (9.3) no especificadas; se recomienda revisar todas las versiones actuales desplegadas No
CVE-2025-64691 No especificado AfectadoModel Application Server CRITICAL (9.3) No especificadas No
CVE-2025-65118 No especificado Model Application Server CRITICAL (9.3) No especificadas No
CVE-2025-62581 Delta Electronics AfectadoDIAView CRITICAL (9.8) No especificadas en la referencia No
CVE-2025-62582 Delta Electronics DIAView CRITICAL (9.8) No especificadas en detalle en la referencia No
CVE-2026-1019 Gotac afectadoPolice Statistics Database System CRITICAL (9.3) No especificadas No
CVE-2026-1021 Gotac AfectadoPolice Statistics Database System CRITICAL (9.3) No especificadas No

Leer más…

Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Resumen vulnerabilidades críticas – 9 elementos (15 ene 2026 Europe/Madrid)

jueves, 15 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2026-23550 No especificado (en análisis) AfectadoNo especificado (en análisis) Se está Explotando No especificadas No
CVE-2026-20805 Microsoft AfectadoMicrosoft Windows (Windows 10, Windows 11, Windows Server 2012 R2, 2019 y 2022) Se está Explotando Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2019, Windows Server 2022
CVE-2026-23550 Modular DS AfectadoModular DS CRITICAL (10) desde versiones iniciales hasta 2.5.1 No
CVE-2026-22236 BLUVOYIX BLUVOYIX backend APIs CRITICAL (10) No especificadas No
CVE-2026-22237 BLUSPARK GLOBAL BLUVOYIX CRITICAL (10) No especificadas No
CVE-2026-22238 BLUVOYIX AfectadoBLUVOYIX Admin APIs CRÍTICA (10) No especificadas No
CVE-2026-22239 BLUVOYIX AfectadoAPI de envío de correo electrónico de BLUVOYIX CRITICAL (10) No especificadas, se recomienda revisar versiones actuales No
CVE-2026-22240 BLUVOYIX BLUVOYIX CRITICAL (10) No especificadas No
CVE-2025-70968 FreeImage FreeImage CRITICAL (9.8) 3.18.0
CVE CVE-2026-23550
Severidad Se está Explotando
Importancia para la empresa ALTA
Publicado 14/01/2026
Fabricante No especificado (en análisis)
Producto Afectado No especificado (en análisis)
Versiones Afectadas No especificadas
Exploit Públicos No confirmado
Referencia CVE-2026-23550
KEV
FAQ KEV
Descripción Vulnerabilidad de asignación incorrecta de privilegios en un producto y fabricante no especificados actualmente bajo análisis. Esta vulnerabilidad permite que usuarios no autorizados ganen privilegios elevados, lo que puede derivar en accesos no legítimos a funciones o datos críticos.
Estrategia Monitorear activamente fuentes oficiales para actualización de detalles y parches. Aplicar controles estrictos de gestión de privilegios y segmentación de accesos. Preparar planes de respuesta rápida ante explotación, dado que ya se está explotando. Actualizar e instalar parches tan pronto como se publiquen.
CVE CVE-2026-20805
Severidad Se está Explotando
Importancia para la empresa ALTA
Publicado 14/01/2026
Vendor Microsoft
Producto Afectado Microsoft Windows (Windows 10, Windows 11, Windows Server 2012 R2, 2019 y 2022)
Versiones Afectadas Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2019, Windows Server 2022
Exploit Públicos Sí, explotación activa confirmada
Referencia Microsoft CVE Details, Microsoft Exposure Recommendations, CVE Official Record
Descripción Vulnerabilidad en Microsoft Windows (incluyendo Windows 10, Windows 11, Windows Server 2012 R2, 2019 y 2022) con un puntaje CVSS de 5.5 que afecta a 387 dispositivos expuestos. Detalles específicos de la vulnerabilidad no proporcionados en el correo.
Evaluación Aunque los detalles técnicos son limitados, la vulnerabilidad está siendo activamente explotada y afecta a sistemas ampliamente distribuidos en la empresa, representando un riesgo real de compromiso. Es prioritario considerarla para acciones inmediatas.
Estrategia Aplicar urgentemente los parches oficiales emitidos por Microsoft para todas las versiones afectadas. Adicionalmente, monitorizar активности inusual en los sistemas afectados y reforzar controles perimetrales para detectar intentos de explotación.
CVE CVE-2026-23550
Severidad CRITICAL (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 10:16 (hora de España)
Fabricante Modular DS
Producto Afectado Modular DS
Versiones Afectadas desde versiones iniciales hasta 2.5.1
Exploit Públicos No confirmados
Referencia Aviso de Seguridad Modular DS</td
Descripción Vulnerabilidad de asignación incorrecta de privilegios en Modular DS que permite la escalada de privilegios. Este problema afecta a Modular DS: desde versiones iniciales hasta la 2.5.1.

Esta vulnerabilidad puede ser explotada por un atacante con acceso limitado para elevar sus privilegios, comprometiendo la seguridad del sistema y potencialmente tomando control completo. No se han confirmado exploits públicos, pero la gravedad y facilidad de explotación requieren atención inmediata.
Estrategia Actualizar inmediatamente a la versión 2.5.2 o superior que corrige la vulnerabilidad. En paralelo, revisar y restringir los permisos de usuarios y procesos para minimizar el riesgo, además de monitorizar cualquier comportamiento anómalo que indique intento de escalada de privilegios.
CVE CVE-2026-22236
Severidad CRITICAL (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 16:16 (hora de España)
Vendor BLUVOYIX
Producto BLUVOYIX backend APIs
Versiones No especificadas
Exploit Públicos No confirmados
Referencia BLUVOYIX Advisory
Descripción La vulnerabilidad existe en BLUVOYIX debido a una autenticación inapropiada en las APIs backend de BLUVOYIX. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando peticiones HTTP especialmente diseñadas a las APIs vulnerables. La explotación exitosa podría permitir al atacante obtener acceso completo a los datos de los clientes y comprometer por completo la plataforma objetivo.
Estrategia Aplicar inmediatamente el parche oficial o actualización proporcionada por BLUVOYIX que corrige la autenticación en las APIs backend. En paralelo, restringir accesos directos a las APIs mediante firewall y monitorizar tráfico irregular para detectar posibles intentos de explotación no autenticada.
CVE CVE-2026-22237
Severidad CRITICAL (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 16:16 (hora de España)
Vendor BLUSPARK GLOBAL
Producto BLUVOYIX
Versiones No especificadas
Exploit Públicos No confirmados
Referencia BLUVOYIX Advisory
Descripción La vulnerabilidad existe en BLUVOYIX debido a la exposición de documentación interna sensible de la API. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas a las APIs expuestas por dicha documentación. La explotación exitosa podría permitir al atacante causar daños en la plataforma objetivo mediante el abuso de funcionalidades internas.
Estrategia Eliminar o restringir el acceso a la documentación interna de las APIs expuestas, implementar autenticación estricta sobre dichas APIs y monitorizar tráfico anómalo para detectar intentos de explotación. Aplicar parches o actualizaciones del fabricante en cuanto estén disponibles.
CVE CVE-2026-22238
Severidad CRÍTICA (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 16:16 (hora de España)
Fabricante BLUVOYIX
Producto Afectado BLUVOYIX Admin APIs
Versiones Afectadas No especificadas
Exploit Públicos No confirmados
Referencia BLUVOYIX Advisory
Descripción La vulnerabilidad existe en BLUVOYIX debido a una autenticación inapropiada en las APIs administrativas de BLUVOYIX. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando peticiones HTTP especialmente diseñadas a la API administrativa vulnerable para crear un nuevo usuario con privilegios administrativos. La explotación exitosa podría permitir al atacante obtener acceso completo a los datos de los clientes y comprometer totalmente la plataforma afectada al iniciar sesión con el usuario administrador recién creado.
Estrategia Aplicar inmediatamente los parches oficiales proporcionados por BLUVOYIX. Mientras se actualiza, restringir el acceso a las APIs administrativas mediante firewalls o listas blancas de IP, y monitorizar activamente cualquier creación inusual de usuarios administrativos para detectar intentos de explotación en tiempo real.
CVE CVE-2026-22239
Severidad CRITICAL (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 16:16 (hora de España)
Fabricante BLUVOYIX
Producto Afectado API de envío de correo electrónico de BLUVOYIX
Versiones Afectadas No especificadas, se recomienda revisar versiones actuales
Exploit Públicos No confirmados
Referencia BLUVOYIX Advisory
Descripción Existe una vulnerabilidad en BLUVOYIX debido a fallos de diseño en la API de envío de correos electrónicos. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas a la API vulnerable. La explotación exitosa permitiría al atacante enviar correos no solicitados en nombre de la empresa.
Estrategia Aplicar inmediatamente cualquier parche oficial disponible para la API de BLUVOYIX. Restringir el acceso a la API de envío de correos mediante autenticación y filtros de IP. Monitorizar tráfico inusual para detectar solicitudes HTTP maliciosas y enviar alertas tempranas sobre intentos de explotación.
CVE CVE-2026-22240
Severidad CRITICAL (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 16:16 (hora de España)
Vendor BLUVOYIX
Producto BLUVOYIX
Versiones No especificadas
Exploit Públicos No confirmado
Referencia BLUVOYIX Advisory
Descripción La vulnerabilidad existe en BLUVOYIX debido a una implementación inadecuada del almacenamiento de contraseñas y una exposición subsiguiente a través de APIs no autenticadas. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas al API de usuarios vulnerable para recuperar las contraseñas en texto plano de todos los usuarios. La explotación exitosa podría permitir al atacante obtener acceso total a los datos de los clientes y comprometer completamente la plataforma objetivo iniciando sesión con un correo electrónico y contraseña de administrador expuestos.
Estrategia Aplicar inmediatamente parches oficiales que corrijan la gestión de almacenamiento de contraseñas y restrinjan el acceso a APIs vulnerables mediante autenticación robusta. Además, monitorear accesos anómalos y reforzar controles de acceso a datos sensibles para prevenir explotación activa.
CVE CVE-2025-70968
Severidad CRITICAL (9.8)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 18:16 (hora de España)
Vendor FreeImage
Producto FreeImage
Versiones 3.18.0
Exploit Públicos Confirmados y disponibles públicamente
Referencia GitHub – Exploit PoC</td
Descripción FreeImage 3.18.0 contiene una vulnerabilidad de Use After Free en PluginTARGA.cpp; loadRLE().
Análisis La vulnerabilidad permite que un atacante remoto ejecute código arbitrario al manipular cargas RLE en imágenes TARGA, explotando el acceso a memoria liberada para causar corrupción o ejecución remota. Dado que existen exploits públicos, la amenaza es inmediata y directa.
Estrategia Actualizar a versión corregida si está disponible o reemplazar FreeImage por otra librería; si no hay parche, aislar el procesamiento de imágenes TARGA y limitar la exposición de servicios que usan FreeImage. Monitorear intentos de explotación activa y aplicar defensas de sandboxing para mitigar el riesgo.
Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Resumen vulnerabilidades críticas – 25 elementos (14 ene 2026 Europe/Madrid)

miércoles, 14 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2026-21858 n8n n8n Workflow Automation Se esta Explotando Versiones afectadas no especificadas explícitamente; se recomienda confirmar con el proveedor
CVE-2026-20805 Microsoft AfectadoDesktop Window Manager Se está Explotando No especificadas públicamente Confirmados y activos
CVE-2025-40805 Siemens AfectadoDispositivos afectados con API vulnerables CRITICAL (10) No especificadas explicitamente No
CVE-2025-11250 Zohocorp AfectadoManageEngine ADSelfService Plus CRITICAL (9.1) versiones anteriores a 6519 No
CVE-2026-0879 Mozilla Foundation Firefox y Firefox ESR CRITICAL (9.8) Firefox No
CVE-2026-0881 Mozilla Firefox CRITICAL (10) Versiones anteriores a la 147 No
CVE-2026-0884 Mozilla Foundation Firefox y Firefox ESR CRITICAL (9.8) Firefox No
CVE-2026-0892 Mozilla Foundation Firefox y Thunderbird CRITICAL (9.8) Firefox No
CVE-2026-22755 Vivotek AfectadoDispositivos Vivotek modelos FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391, FE9180, FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371, IB9381, IB9387, IB9389, IB939, IP9165, IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330 (módulos de firmware) CRITICAL (9.3) Versiones de firmware: 0100a, 0106a, 0106b, 0107a, 0107b_1, 0109a, 0112a, 0113a, 0113d, 0117b, 0119e, 0120b, 0121, 0121d, 0121d_48573_1, 0122e, 0124d_48573_1, 012501, 012502, 0125c No
CVE-2025-12548 Eclipse Foundation Eclipse Che che-machine-exec CRITICAL (9) Versiones que usan che-machine-exec con API JSON-RPC No
CVE-2025-47855 Fortinet FortiFone CRITICAL (9.8) 7.0.0 a 7.0.1, 3.0.13 a 3.0.23 No
CVE-2025-64155 Fortinet AfectadoFortiSIEM CRITICAL (9.8) 7.4.0, 7.3.0 a 7.3.4, 7.1.0 a 7.1.8, 7.0.0 a 7.0.4, 6.7.0 a 6.7.10 No
CVE-2025-68271 OpenC3 AfectadoCOSMOS CRITICAL (10) De la 5.0.0 a la 6.10.1 No
CVE-2026-23478 Cal.com Cal.com (software de programación open-source) CRITICAL (10) Desde la 3.1.6 hasta antes de la 6.0.7 No
CVE-2020-36911 Covenant Project Covenant CRITICAL (9.3) 0.1.3 – 0.5
CVE-2022-50893 VIAVIWEB Wallpaper Admin 1.0 CRITICAL (9.3) Versión 1.0
CVE-2022-50912 ImpressCMS ImpressCMS CRITICAL (9.3) 1.4.4 No
CVE-2022-50919 Tdarr Tdarr CRITICAL (9.3) 2.00.15
CVE-2023-54329 Inbit Inbit Messenger CRITICAL (9.3) 4.6.0 – 4.9.0
CVE-2023-54330 Inbit Soft Inbit Messenger CRITICAL (9.3) 4.6.0 a 4.9.0
CVE-2023-54335 eXtplorer Project eXtplorer CRITICAL (9.3) 2.1.14 No
CVE-2023-54339 Webgrind AfectadoWebgrind 1.1 CRITICAL (9.3) Versión 1.1
CVE-2026-22686 Agentfront enclave-vm CRITICAL (10) Versiones anteriores a 2.7.0 No
CVE-2025-14301 Opvius AfectadoIntegration Opvius AI for WooCommerce plugin para WordPress CRITICAL (9.8) Todas las versiones hasta la 1.3.0 inclusive No
CVE-2025-14502 WordPress Plugin Developer News and Blog Designer Bundle plugin para WordPress CRITICAL (9.8) Todas las versiones hasta e incluyendo la 1.1 No

Leer más…

Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Resumen vulnerabilidades críticas – 29 elementos (13 ene 2026 Europe/Madrid)

martes, 13 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2026-20805 Microsoft AfectadoMicrosoft Windows Se está Explotando No especificadas (revisar enlace oficial)
CVE-2026-20805 Microsoft AfectadoDesktop Window Manager Se está Explotando No especificado concretamente, afecta versiones actuales y soporte activo Confirmados en explotación activa
CVE-2025-14436 Brevo Brevo for WooCommerce Plugin for WordPress Se está Explotando No especificadas
CVE-2025-51567 kashipara Online Exam System V1.0 CRITICAL (9.1) V1.0
CVE-2025-66802 Sourcecodester Covid-19 Contact Tracing System CRITICAL (9.8) 1.0
CVE-2025-67147 amansuryawanshi AfectadoGym-Management-System-PHP CRITICAL (9.8) 1.0 No
CVE-2025-12420 ServiceNow ServiceNow AI Platform CRITICAL (9.3) Versiones anteriores a la actualización de Octubre 2025 No
CVE-2025-29329 Sagemcom F@st 3686 MAGYAR_4.121.0 CRITICAL (9.8) MAGYAR_4.121.0 No
CVE-2025-67146 AbhishekMali21 GYM-MANAGEMENT-SYSTEM CRITICAL (9.4) 1.0 No
CVE-2026-22794 Appsmith Appsmith Platform CRITICAL (9.6) Versiones anteriores a 1.93 No
CVE-2026-22799 Emlog Emlog Website Building System CRITICAL (9.3) Versiones 2.6.1 y anteriores
CVE-2026-22813 AnomalyCo OpenCode (agente de codificación AI Open Source) CRÍTICA (9.4) Versiones anteriores a 1.1.10 No
CVE-2026-0491 SAP SAP Landscape Transformation CRITICAL (9.1) No especificadas en la descripción disponible No
CVE-2026-0498 SAP SAP S CRITICAL (9.1) Versiones afectadas no especificadas claramente, se recomienda revisar nota oficial No
CVE-2026-0500 SAP Wily Introscope Enterprise Manager (WorkStation) CRITICAL (9.6) No especificadas, afecta versiones que utilizan el componente vulnerable de terceros No
CVE-2026-0501 SAP SAP S CRITICAL (9.9) No especificado; afecta versiones de SAP S No
CVE-2025-10915 Dreamer Themes Dreamer Blog WordPress theme CRITICAL (9.8) versiones hasta la 1.2 inclusive No
CVE-2025-14829 The E-xact Hosted Payment CRITICAL (9.1) hasta la versión 2.0 inclusive No
CVE-2025-40805 Siemens Dispositivos afectados no especificados (probablemente industrial IoT o sistemas SCADA) CRITICAL (10) No especificadas en el aviso público No
CVE-2025-11250 Zohocorp ManageEngine ADSelfService Plus CRITICAL (9.1) versiones anteriores a la 6519 No
CVE-2026-0879 Mozilla Firefox, Firefox ESR CRITICAL (9.8) Firefox No
CVE-2026-0881 Mozilla Firefox CRITICAL (10) versiones anteriores a 147 No
CVE-2026-0884 Mozilla Firefox y Firefox ESR CRITICAL (9.8) Firefox versiones anteriores a 147 y Firefox ESR versiones anteriores a 140.7 No
CVE-2026-0892 Mozilla Firefox y Thunderbird CRITICAL (9.8) Firefox No
CVE-2026-22755 Vivotek Modelos de dispositivos FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391, FE9180, FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371, IB9381, IB9387, IB9389, IB939, IP9165, IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330 (Módulos de firmware) CRITICAL (9.3) Firmware versiones 0100a, 0106a, 0106b, 0107a, 0107b_1, 0109a, 0112a, 0113a, 0113d, 0117b, 0119e, 0120b, 0121, 0121d, 0121d_48573_1, 0122e, 0124d_48573_1, 012501, 012502, 0125c No
CVE-2025-12548 Eclipse Foundation Eclipse Che che-machine-exec CRITICAL (9) Versiones que exponen la API JSON-RPC
CVE-2025-47855 Fortinet FortiFone CRITICAL (9.8) 7.0.0 a 7.0.1, 3.0.13 a 3.0.23 No
CVE-2025-64155 Fortinet AfectadoFortiSIEM CRITICAL (9.8) 7.4.0, 7.3.0 – 7.3.4, 7.1.0 – 7.1.8, 7.0.0 – 7.0.4, 6.7.0 – 6.7.10 No
CVE-2025-68271 OpenC3 COSMOS CRITICAL (10) 5.0.0 a 6.10.1 No

Leer más…

Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Ha nacido un nuevo superhéroe digital: Pildoritas

lunes, 7 de julio de 2025 Sin comentarios

🦸‍♂️✨ ¡Ha nacido un nuevo superhéroe digital: Pildoritas!

👉Ciberconsejos para tod@s
💊Ciberataques BEC ( Business Email Compromise)
🚨 Estafas BEC: Así funcionan… y así puedes evitarlas

 

 

🕵️‍♂️ ¿Cómo funciona una estafa BEC?

✅El atacante estudia a la empresa Revisa la web, redes sociales, organigramas…
✅Suplanta una identidad. Compromete una cuenta real o usa una dirección de correo casi idéntica a la legítima.
✅Espera el momento perfecto( Fechas de pago, cierre de mes, emisión de facturas…)
✅Envía un email muy muy creíble ( Mismo estilo, diseño, firma… incluso puede haber llamada telefónica.)
✅Pide una acción urgente (Transferencias, cambio de número de cuenta, tarjetas, información confidencial…)

🛡️ ¿Cómo protegerse?
✅ Desconfía de lo urgente especialmente si implica dinero o datos sensibles.
✅ Verifica siempre por otro canal. Una llamada al canal oficial puede evitar el desastre.
✅ Informa si detectas algo sospechoso
No dudes en alertar a tus compañeros o equipo de seguridad.

Enviar a un amigo: Share this page via Email
Categories: Seguridad Tags:

CCN-CERT : Infografías en español e inglés sobre el Catálogo de Productos y Servicios STIC

lunes, 7 de julio de 2025 Sin comentarios

El CCN-CERT Centro Criptológico Nacional publico a finales de Febrero nuevas infografías en español e inglés sobre el Catálogo de Productos y Servicios STIC: https://lnkd.in/dzZYHADQ

Con los nuevos marcos normativos de obligado cumplimiento a los que están sujetas las empresas (si alguien tiene fechas de cuando aterriza la NIST2 que levante por favor la mano:)), es interesante el conocer las diferentes areas de aplicación, y los productos que nos pueden ayudar a cumplir con los objetivos que se exigen.

Catalogo online: https://lnkd.in/d68AMVpU

PDF: https://lnkd.in/d9FQBFwh

Recordar que aquí ya no se libran ni las Pymes porque se va a exigir a las mismas que se centren de forma seria en temas de seguridad para poder seguir prestando servicios.

Algunas referencias generales que se indican y pueden ser interesantes sobre las que trabajar sino lo estamos haciendo ya.

Protección de las Equipos y Servicios: (Dispositivos móviles, protección de correo, sistemas operativos, copias de seguridad, Plataformas, Virtualización…

Monitorización de la seguridad (IDS, IPS y AntiDDoS, Captura monitorización y análisis de tráfico, HoneyPot/HoneyNet, SandBox..)

Control de Acceso (NAC, Biometría, MFA, Gestión Identidades(IM), Single Sign-on, Servidores autenticación y PAM)

Seguridad en la Explotación (Antivirus (EPP), Filtrado de navegación, EDR, Gestión eventos seguridad, herramientas gestión de red, Dispositivos para gestión claves criptográficas, actualización de sistemas, herramientas de gestión de dispositivos…)

Protección de las comunicaciones (Enrutadores, cortafuegos, pasarelas de intercambio de datos, VoIP, Dispositivos inalámbricos, Switches, Proxies, WAF, Redes privadas virtuales IPSEC + SSL, SDN, Videoconferencia, Mensajería instantánea (IM)…)

Protección de la información y los Soportes de la Información (Cifrado y compartición segura de la información, herramientas de firma electrónica, Sistemas de prevención de fugas de datos, Almacenamiento cifrado de datos, Herramientas de Borrado Seguro…

Como podemos ver, el mundo de la seguridad cada vez se parece a algo infinito de gestionar tanto en tiempo como en recursos.

Enviar a un amigo: Share this page via Email
Categories: Seguridad Tags:

Europa Reconoce su debilidad tecnológica

lunes, 7 de julio de 2025 Sin comentarios

😶Europa Reconoce su debilidad tecnológica😶

Esta vez no lo digo bajo la narrativa metafórica de mi última publicación, sino que es Ursula Von der Leyen en formato comisión Europea quien lo afirma.

Literalmente comenta:

1️⃣Europa se ve frenada por debilidades
2️⃣En los últimos 20-25 años el modelo de negocio se ha basado en mano de obra barata china, energía barata de rusia y externalizando la seguridad y la inversión en la misma.
3️⃣Europa permanece detrás de EEUU y China, y debemos de corregir nuestras de debilidades para ser competitivos

Soluciones que aporta:

1️⃣Cerrar el GAP en innovación
2️⃣Hoja de ruta para descarbonización y competitividad
3️⃣Reducir las dependencias, aumentar la resiliencia y seguridad económica con empleos de calidad

Sus Reflexiones/aportaciones 💡Hay pocas startups tecnologías con ideas disruptivas💡

Una vez llegados a esa profunda reflexión 🙌, parece que Europa tiene un papel regulador muy estricto y quizás sea necesario el buscar un equilibrio para no terminar de ahogar el espíritu innovador y emprendedor de las empresas.

No es sencillo desarrollar nuevas tecnologías o que estas lleguen a nuestros mercados, pareciendo un continente sin impulso tecnológico que se mueve rezagado frente a sus competidores.

Esa idea acuñada de globalización (dependencia) tecnológica parece hacerse dado mayormente en una dirección y ahora toca vivir las consecuencias derivadas.

Eso, ¿O quizás simplemente sea una estrategia muy orquestada y nos sorprenda con un deepseek Europeo?.

Podemos iniciar un proyecto de brainstorming para definir el nombre de esa nueva IA que nos espera…o mejor no, que se nos puede ir de las manos con los procedimientos derivando en meses simplemente decidiendo su identidad.

Yo voto por EUlexIA («EU» + «Lex» – Ley en latín, reflejando regulación ética + IA que no puede faltar) que además suena a nombre castizo de antaño.

Enviar a un amigo: Share this page via Email
Categories: Seguridad Tags:

¿Un mal sueño o simplemente una realidad?

lunes, 7 de julio de 2025 Sin comentarios

 

¿Un mal sueño o simplemente una realidad?

Me levanto por la mañana con el sonido de la alarma de mi móvil (IOS, Android) y miro la pantalla de mi altavoz inteligente (Amazon, Google, Apple, Samsung..) a fin de confirmar la hora.

Aprovecho para preguntarle por el tiempo y le mando encender las luces (Alexa, Google Home, Apple Home..).

Mientras desayuno enciendo mi SmartTV para ver las noticias (Tizen OS, WebOS, Android TV, Fire TV..), y que el mundo me recuerde como es el planeta en el que vivimos.

Es hora de ir a la oficina. Arranco el coche, conecto mi móvil (Apple CarPlay, Android auto), y a escuchar música (Spotify, Apple Music, Amazon..) para disfrutar de camino al trabajo. En la pantalla se presenta Google Maps (GPS) y reviso si hay algún tipo de retención que me haga llegar tarde a esa primera reunión.

Cuando finalmente llego, enciendo mi portátil (Mac, Dell, HP, Lenovo..) adquirido recientemente (Intel, AMD), arrancamos el SO (Windows) y reviso el correo (Gmail,Office365..).

Me toca realizar algunas configuraciones en mis sistemas perimetrales (Palo Alto, Fortinet, Cisco, CheckPoint..) y comprobar alertas que se hayan podido generar en el SIEM (Splunk, QRadar, ArcSight, Sentinel, LogRhythm..).

Parece que la electrónica de red esta funcionando correctamente (Cisco, Juniper, Aruba..) y los sistemas Antivirus cumpliendo su cometido (Defender, SentinelOne, Crowdstrike, Sophos…). Simplemente algún bloqueo web (Zscaler, Cloudflare, Netskope…) sin importancia.

Me preocupa el rendimiento del ERP (SAP, Oracle, Dynamics, Sage..) porque los usuarios lo notan rápido.

Como siempre toca revisar la salud de los servicios desplegados en la nube (AWS, Azure, Google, IBM, Oracle..) pero parece que todo OK.

Tengo una oficina con poca cobertura, pero con la solución de Tesla Smarlink ahora estoy contento. Me viene a la cabeza el Tesla conducción autónoma que recientemente se ha comprado mi primo con su autopilot completamente conectado o esos viajes al espacio (SpaceX, Blue Origin Virgin..).

Como tengo la mañana algo tranquila reviso brevemente mis redes sociales (X, Facebook, Instagram, Whatsapp …) y navego un poco (google, bing…) justo antes de la comida.

Ya por la tarde tengo liada con unas reuniones virtuales (Teams, Zoom, Meet, Webex, skype…) que me tienen entretenido gran parte de la misma, y el resto del tiempo lo dedico a revisar el MDM y los endpoint (Intune, MobileIron, Airwatch..) y montar alguna pruebita de concepto para mejorar la seguridad.

Es hora de volver a casa, relajarme y tontear un poco con la IA (OpenIA, Microsoft Google DeepMind, IBM Watson, Amazon..)

Salgo un momento a correr (Suunto, Garmin), cenar viendo una serie ( NetFlix, Prime, Disney, HBO, Apple..) y para la cama que es tarde y toca madrugar.

Pero justo en ese momento previo a vencerme el sueño, es cuando reflexiono y pienso: virgencita, virgencita que los americanos no se enfaden mucho con Europa porque me da que íbamos a salir torcidos en la la foto

Enviar a un amigo: Share this page via Email
Categories: Seguridad Tags: