Archivo

Archivo para la categoría ‘Check Vulnerabilidades’

Resumen vulnerabilidades críticas – 2 elementos (18 ene 2026 Europe/Madrid)

domingo, 18 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2019-25297 Opinion Stage AfectadoPoll, Survey & Quiz Maker Plugin Se está explotando No especificadas explícitamente
CVE-2025-10484 WooCommerce Registration & Login with Mobile Phone Number for WooCommerce plugin para WordPress CRITICAL (9.8) Todas las versiones hasta e incluyendo la 1.3.1 No
CVE CVE-2019-25297
Severidad Se está explotando
Importancia para la empresa ALTA
Publicado 2019
Fabricante Opinion Stage
Producto Afectado Poll, Survey & Quiz Maker Plugin
Versiones Afectadas No especificadas explícitamente
Exploit Públicos Sí, existen pruebas de explotación activa
Referencia CVE-2019-25297 Vulncheck
Descripción Vulnerabilidad de Neutralización Inadecuada de Entrada durante la Generación de Páginas Web (‘Cross-site Scripting’) en el plugin Poll, Survey & Quiz Maker de Opinion Stage, que permite a atacantes inyectar scripts maliciosos. Esto puede ser explotado para ejecutar código malicioso en navegadores de usuarios, comprometiendo la confidencialidad e integridad de la información.
Estrategia Actualizar inmediatamente el plugin a la versión que corrige esta vulnerabilidad. Si el parche no está disponible, desactivar el plugin afectado para evitar explotación. Implementar controles de validación y escape estricto de entradas en las interfaces web y monitorizar activamente intentos de explotación para detectar ataques en curso.
CVE CVE-2025-10484
Severidad CRITICAL (9.8)
Importancia para la empresa ALTA
Publicado sáb, 17 ene 2026, 10:15 (hora de España)
Vendor WooCommerce
Producto Registration & Login with Mobile Phone Number for WooCommerce plugin para WordPress
Versiones Todas las versiones hasta e incluyendo la 1.3.1
Exploit Públicos No confirmados
Referencia Sitio oficial del plugin
Descripción El plugin Registration & Login with Mobile Phone Number para WooCommerce en WordPress es vulnerable a una omisión de autenticación en todas las versiones hasta la 1.3.1 inclusive. Esto se debe a que el plugin no verifica correctamente la identidad del usuario antes de autenticarlo mediante la función fma_lwp_set_session_php_fun(). Esto permite que atacantes no autenticados se autentiquen como cualquier usuario del sitio, incluidos administradores, sin necesidad de una contraseña válida.
Impacto Esta vulnerabilidad permite acceso completo no autorizado, lo que puede provocar compromisos críticos en la integridad y confidencialidad de los datos del sitio web, facilitando el control total por parte de atacantes.
Estrategia Actualizar inmediatamente el plugin a una versión parcheada superior a la 1.3.1 cuando esté disponible. Mientras tanto, restringir el uso del plugin o implementar controles adicionales de autenticación y monitorización de accesos para detectar intentos de explotación.
Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Resumen vulnerabilidades críticas – 25 elementos (17 ene 2026 Europe/Madrid)

sábado, 17 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2012-10064 Omnilogic AfectadoOmni Secure Files Se está Explotando No especificadas No
CVE-2026-0899 Chromium Project Chromium V8 JavaScript Engine Se está Explotando Versiones afectadas de Chromium que usan V8 Engine previas al parche del 16
CVE-2026-0900 Chromium Project AfectadoMotor V8 de Chromium Se está Explotando Versiones con motor V8 anteriores a la publicación del parche en enero 2026
CVE-2026-0901 Google AfectadoChromium (Blink rendering engine) Se está Explotando Versiones con Blink rendering engine previas al parche de enero 2026
CVE-2026-0902 Chromium Project Navegador Chromium (Motor V8) Se está Explotando Versiones con motor V8 sin parchear hasta enero 2026
CVE-2026-0903 Chromium Project AfectadoChromium Se está Explotando Versiones anteriores al parche publicado el 16
CVE-2026-0904 Chromium Project (Google) Chromium (Navegador web) Se está Explotando Versiones afectadas hasta la fecha de publicación (no especificadas con exactitud) No
CVE-2026-0905 Chromium Project Chromium Se está explotando No especificadas, afecta múltiples versiones hasta parchear
CVE-2026-0906 Chromium Project AfectadoNavegador Chromium Se esta Explotando Versiones afectadas no especificadas en la referencia No
CVE-2026-0907 Chromium Project AfectadoChromium (navegador web) Se esta Explotando Versiones afectadas no especificadas; se recomienda revisar actualizaciones recientes
CVE-2026-0908 Google Chromium (componente ANGLE) Se está Explotando Versiones anteriores al parche del 16
CVE-2026-20960 Microsoft AfectadoPower Apps Se está Explotando No especificadas
CVE-2026-21223 Microsoft AfectadoMicrosoft Edge (Chromium-based) Se está Explotando Versiones previas a la actualización publicada el 16
CVE-2025-64155 Fortinet AfectadoFortiSIEM Se está Explotando No especificadas, se asume todas las versiones afectadas deben ser parcheadas
CVE-2025-52665 UniFi Afectadoui_unifi_access Se está Explotando No especificadas
CVE-2025-60021 Apache Software Foundation Apache bRPC CRITICAL (9.8) todas las versiones anteriores a 1.15.0 No
CVE-2025-14510 *ABB Afectado: *ABB Ability OPTIMAX *CRITICAL (9.2) *6.1, 6.2, desde 6.3.0 antes de 6.3.1-251120, desde 6.4.0 antes de 6.4.1-251120 No
CVE-2026-21623 Stackideas Easy Discuss para Joomla CRITICAL (9.4) Versiones afectadas previas al parche disponible en https: No
CVE-2026-21624 StackIdeas Easy Discuss para Joomla CRITICAL (9.4) Versiones anteriores al parche publicado tras 16 enero 2026 No
CVE-2026-23523 OpenAgentPlatform Dive (MCP Host Desktop Application) CRITICAL (9.6) versiones anteriores a 0.13.0 No
CVE-2012-10064 Omni Secure Files Omni Secure Files plugin CRITICAL (9.3) versiones anteriores a 0.1.14
CVE-2026-23722 WeGIA WeGIA (Web Manager for Charitable Institutions) CRITICAL (9.1) Versiones anteriores a 3.6.2 No
CVE-2026-23744 MCPJam AfectadoMCPJam inspector CRITICAL (9.8) versiones 1.4.2 y anteriores No
CVE-2026-23800 Modular DS Afectadomodular-connector CRITICAL (10) Desde la 2.5.2 hasta antes de la 2.6.0 No
CVE-2025-15403 RegistrationMagic Plugin para WordPress RegistrationMagic CRITICAL (9.8) todas las versiones hasta e incluyendo la 6.0.7.1 No

Leer más…

Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Resumen vulnerabilidades críticas – 40 elementos (16 ene 2026 Europe/Madrid)

viernes, 16 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2023-7334 Changjetong Information Technology Co., Ltd. T+ Se está Explotando No especificadas No
CVE-2011-10041 Steven AfectadoUploadify Se está Explotando No especificadas (revisar versiones previas a la actualización oficial) Confirmados con evidencia activa
CVE-2021-36901 AsylumDigital age_gate Se está Explotando No especificadas No
CVE-2024-2863 LG lg_led_assistant Se está Explotando No especificado
CVE-2017-17762 Episerver Episerver Se está explotando No especificadas explícitamente
CVE-2021-25281 * SaltStack Afectado:* Salt * Se está explotando * Versiones anteriores a la corrección aplicada en 2021 (detalles específicos deben consultarse en el aviso oficial)
CVE-2025-63387 Langgenius Afectadodify Se está Explotando No especificadas No
CVE-2025-55749 XWiki XWiki (Plataforma colaborativa) Se está Explotando Versiones anteriores a la corrección divulgada en 2025 (detalles específicos deben consultarse en el vendor)
CVE-2020-26836 SAP Afectadosolution_manager Se está Exploitando No especificadas explícitamente ando
CVE-2025-68645 Zimbra afectadoZimbra Collaboration Se está Explotando No especificadas, se recomienda verificar versiones PHP usadas en Zimbra Collaboration
CVE-2026-22907 Sick AG Software no especificado de Sick AG CRITICAL (9.9) No especificadas No
CVE-2026-22908 Sick AG AfectadoPlataforma de gestión de contenedores Sick Container Manager CRITICAL (9.1) Versiones anteriores a 3.2.0 No
CVE-2021-47753 phpKF AfectadophpKF CMS 3.00 Beta y6 CRITICAL (9.3) 3.00 Beta y6
CVE-2021-47819 ProjeQtOr ProjeQtOr Project Management CRITICAL (9.3) 9.1.4
CVE-2025-67079 Omnispace Agora Project CRITICAL (9.8) versiones anteriores a 25.10 No
CVE-2025-62193 NOAA PMEL Live Access Server (LAS) CRITICAL (9.3) No especificadas, afectadas hasta el 2025-09-24 No
CVE-2026-23520 Arcane Arcane (gestión moderna de Docker) CRITICAL (9) versiones anteriores a 1.13.0 No
CVE-2026-23746 Entrust Instant Financial Issuance (IFI) On Premise (anteriormente CardWizard) CRITICAL (9.3) versiones 5.x, anteriores a 6.10.5 y anteriores a 6.11.1
CVE-2025-70892 Phpgurukul Cyber Cafe Management System CRITICAL (9.8) v1.0
CVE-2011-10041 Uploadify Plugin WordPress Uploadify CRITICAL (9.3) Hasta la 1.0 inclusive
CVE-2023-7334 Changjetong T+ CRITICAL (9.3) Versiones hasta e incluyendo 16.x Confirmados por Shadowserver Foundation
CVE-2026-1009 Altium Altium Forum (dentro de Altium 365) CRITICAL (9) Versiones previas a la corrección oficial (no especificadas) No
CVE-2026-22863 Deno Land AfectadoDeno (JavaScript, TypeScript, y WebAssembly runtime) CRITICAL (9.2) versiones anteriores a 2.6.0 No
CVE-2021-47796 Denver SHC-150 Smart Wifi Camera CRITICAL (9.3) No especificadas (probablemente todas las versiones del modelo afectado)
CVE-2021-47812 Grav CMS Team GravCMS CRITICAL (9.3) 1.10.7
CVE-2025-14231 Canon Satera LBP670C Series, Satera MF750C Series, Color imageCLASS LBP630C CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14232 Canon AfectadoSatera LBP670C Series, Satera MF750C Series, Color imageCLASS LBP630C, Color imageCLASS MF650C Series, imageCLASS LBP230 Series, imageCLASS X LBP1238 II, imageCLASS MF450 Series, imageCLASS X MF1238 II, imageCLASS X MF1643i II, imageCLASS X MF1643iF II, i-SENSYS LBP630C Series, i-SENSYS MF650C Series, i-SENSYS LBP230 Series, 1238P II, 1238Pr II, i-SENSYS MF450 Series, i-SENSYS MF550 Series, 1238i II, 1238iF II, imageRUNNER 1643i II, imageRUNNER 1643iF II CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14233 Canon Satera LBP670C Series, Satera MF750C Series, Color imageCLASS LBP630C, Color imageCLASS MF650C Series, imageCLASS LBP230 Series, imageCLASS X LBP1238 II, imageCLASS MF450 Series, imageCLASS X MF1238 II, imageCLASS X MF1643i II, imageCLASS X MF1643iF II, i-SENSYS LBP630C Series, i-SENSYS MF650C Series, i-SENSYS LBP230 Series, 1238P II, 1238Pr II, i-SENSYS MF450 Series, i-SENSYS MF550 Series, 1238i II, 1238iF II, imageRUNNER 1643i II, imageRUNNER 1643iF II CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14234 Canon Inc. Satera LBP670C Series, Satera MF750C Series (Japón), Color imageCLASS LBP630C, MF650C Series, LBP230 Series, imageCLASS X LBP1238 II, MF450 Series, MF1238 II, MF1643i II, MF1643iF II (EE.UU.), i-SENSYS LBP630C Series, MF650C Series, LBP230 Series, 1238P II, 1238Pr II, MF450 Series, MF550 Series, 1238i II, 1238iF II, imageRUNNER 1643i II, 1643iF II (Europa) CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14235 Canon Satera, Color imageCLASS, i-SENSYS, imageRUNNER Series de impresoras multifunción y láser CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14236 Canon Inc. Small Office Multifunction Printers: Satera LBP670C Series, Satera MF750C Series, Color imageCLASS LBP630C, MF650C Series, LBP230 Series, X LBP1238 II, MF450 Series, X MF1238 II, X MF1643i II, X MF1643iF II, i-SENSYS LBP630C Series, MF650C Series, LBP230 Series, 1238P II, 1238Pr II, MF450 Series, MF550 Series, 1238i II, 1238iF II, imageRUNNER 1643i II, imageRUNNER 1643iF II CRITICAL (9.3) Firmware v06.02 y anteriores No
CVE-2025-14237 Canon AfectadoSatera LBP670C Series, Satera MF750C Series, Color imageCLASS LBP630C, MF650C Series, LBP230 Series, X LBP1238 II, MF450 Series, X MF1238 II, X MF1643i II, X MF1643iF II, i-SENSYS LBP630C Series, MF650C Series, LBP230 Series, 1238P II, 1238Pr II, MF450 Series, MF550 Series, 1238i II, 1238iF II, imageRUNNER 1643i II, 1643iF II CRITICAL (9.3) Firmware v06.02 y versiones anteriores vendidas en Japón, EE.UU. y Europa No
CVE-2025-61937 Modelo – fabricante no especificado AfectadoServidor de aplicación modelo (model application server) CRITICAL (10) No especificadas No
CVE-2025-61943 Emerson Process Management AfectadoCaptive Historian CRITICAL (9.3) no especificadas; se recomienda revisar todas las versiones actuales desplegadas No
CVE-2025-64691 No especificado AfectadoModel Application Server CRITICAL (9.3) No especificadas No
CVE-2025-65118 No especificado Model Application Server CRITICAL (9.3) No especificadas No
CVE-2025-62581 Delta Electronics AfectadoDIAView CRITICAL (9.8) No especificadas en la referencia No
CVE-2025-62582 Delta Electronics DIAView CRITICAL (9.8) No especificadas en detalle en la referencia No
CVE-2026-1019 Gotac afectadoPolice Statistics Database System CRITICAL (9.3) No especificadas No
CVE-2026-1021 Gotac AfectadoPolice Statistics Database System CRITICAL (9.3) No especificadas No

Leer más…

Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Resumen vulnerabilidades críticas – 9 elementos (15 ene 2026 Europe/Madrid)

jueves, 15 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2026-23550 No especificado (en análisis) AfectadoNo especificado (en análisis) Se está Explotando No especificadas No
CVE-2026-20805 Microsoft AfectadoMicrosoft Windows (Windows 10, Windows 11, Windows Server 2012 R2, 2019 y 2022) Se está Explotando Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2019, Windows Server 2022
CVE-2026-23550 Modular DS AfectadoModular DS CRITICAL (10) desde versiones iniciales hasta 2.5.1 No
CVE-2026-22236 BLUVOYIX BLUVOYIX backend APIs CRITICAL (10) No especificadas No
CVE-2026-22237 BLUSPARK GLOBAL BLUVOYIX CRITICAL (10) No especificadas No
CVE-2026-22238 BLUVOYIX AfectadoBLUVOYIX Admin APIs CRÍTICA (10) No especificadas No
CVE-2026-22239 BLUVOYIX AfectadoAPI de envío de correo electrónico de BLUVOYIX CRITICAL (10) No especificadas, se recomienda revisar versiones actuales No
CVE-2026-22240 BLUVOYIX BLUVOYIX CRITICAL (10) No especificadas No
CVE-2025-70968 FreeImage FreeImage CRITICAL (9.8) 3.18.0
CVE CVE-2026-23550
Severidad Se está Explotando
Importancia para la empresa ALTA
Publicado 14/01/2026
Fabricante No especificado (en análisis)
Producto Afectado No especificado (en análisis)
Versiones Afectadas No especificadas
Exploit Públicos No confirmado
Referencia CVE-2026-23550
KEV
FAQ KEV
Descripción Vulnerabilidad de asignación incorrecta de privilegios en un producto y fabricante no especificados actualmente bajo análisis. Esta vulnerabilidad permite que usuarios no autorizados ganen privilegios elevados, lo que puede derivar en accesos no legítimos a funciones o datos críticos.
Estrategia Monitorear activamente fuentes oficiales para actualización de detalles y parches. Aplicar controles estrictos de gestión de privilegios y segmentación de accesos. Preparar planes de respuesta rápida ante explotación, dado que ya se está explotando. Actualizar e instalar parches tan pronto como se publiquen.
CVE CVE-2026-20805
Severidad Se está Explotando
Importancia para la empresa ALTA
Publicado 14/01/2026
Vendor Microsoft
Producto Afectado Microsoft Windows (Windows 10, Windows 11, Windows Server 2012 R2, 2019 y 2022)
Versiones Afectadas Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2019, Windows Server 2022
Exploit Públicos Sí, explotación activa confirmada
Referencia Microsoft CVE Details, Microsoft Exposure Recommendations, CVE Official Record
Descripción Vulnerabilidad en Microsoft Windows (incluyendo Windows 10, Windows 11, Windows Server 2012 R2, 2019 y 2022) con un puntaje CVSS de 5.5 que afecta a 387 dispositivos expuestos. Detalles específicos de la vulnerabilidad no proporcionados en el correo.
Evaluación Aunque los detalles técnicos son limitados, la vulnerabilidad está siendo activamente explotada y afecta a sistemas ampliamente distribuidos en la empresa, representando un riesgo real de compromiso. Es prioritario considerarla para acciones inmediatas.
Estrategia Aplicar urgentemente los parches oficiales emitidos por Microsoft para todas las versiones afectadas. Adicionalmente, monitorizar активности inusual en los sistemas afectados y reforzar controles perimetrales para detectar intentos de explotación.
CVE CVE-2026-23550
Severidad CRITICAL (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 10:16 (hora de España)
Fabricante Modular DS
Producto Afectado Modular DS
Versiones Afectadas desde versiones iniciales hasta 2.5.1
Exploit Públicos No confirmados
Referencia Aviso de Seguridad Modular DS</td
Descripción Vulnerabilidad de asignación incorrecta de privilegios en Modular DS que permite la escalada de privilegios. Este problema afecta a Modular DS: desde versiones iniciales hasta la 2.5.1.

Esta vulnerabilidad puede ser explotada por un atacante con acceso limitado para elevar sus privilegios, comprometiendo la seguridad del sistema y potencialmente tomando control completo. No se han confirmado exploits públicos, pero la gravedad y facilidad de explotación requieren atención inmediata.
Estrategia Actualizar inmediatamente a la versión 2.5.2 o superior que corrige la vulnerabilidad. En paralelo, revisar y restringir los permisos de usuarios y procesos para minimizar el riesgo, además de monitorizar cualquier comportamiento anómalo que indique intento de escalada de privilegios.
CVE CVE-2026-22236
Severidad CRITICAL (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 16:16 (hora de España)
Vendor BLUVOYIX
Producto BLUVOYIX backend APIs
Versiones No especificadas
Exploit Públicos No confirmados
Referencia BLUVOYIX Advisory
Descripción La vulnerabilidad existe en BLUVOYIX debido a una autenticación inapropiada en las APIs backend de BLUVOYIX. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando peticiones HTTP especialmente diseñadas a las APIs vulnerables. La explotación exitosa podría permitir al atacante obtener acceso completo a los datos de los clientes y comprometer por completo la plataforma objetivo.
Estrategia Aplicar inmediatamente el parche oficial o actualización proporcionada por BLUVOYIX que corrige la autenticación en las APIs backend. En paralelo, restringir accesos directos a las APIs mediante firewall y monitorizar tráfico irregular para detectar posibles intentos de explotación no autenticada.
CVE CVE-2026-22237
Severidad CRITICAL (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 16:16 (hora de España)
Vendor BLUSPARK GLOBAL
Producto BLUVOYIX
Versiones No especificadas
Exploit Públicos No confirmados
Referencia BLUVOYIX Advisory
Descripción La vulnerabilidad existe en BLUVOYIX debido a la exposición de documentación interna sensible de la API. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas a las APIs expuestas por dicha documentación. La explotación exitosa podría permitir al atacante causar daños en la plataforma objetivo mediante el abuso de funcionalidades internas.
Estrategia Eliminar o restringir el acceso a la documentación interna de las APIs expuestas, implementar autenticación estricta sobre dichas APIs y monitorizar tráfico anómalo para detectar intentos de explotación. Aplicar parches o actualizaciones del fabricante en cuanto estén disponibles.
CVE CVE-2026-22238
Severidad CRÍTICA (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 16:16 (hora de España)
Fabricante BLUVOYIX
Producto Afectado BLUVOYIX Admin APIs
Versiones Afectadas No especificadas
Exploit Públicos No confirmados
Referencia BLUVOYIX Advisory
Descripción La vulnerabilidad existe en BLUVOYIX debido a una autenticación inapropiada en las APIs administrativas de BLUVOYIX. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando peticiones HTTP especialmente diseñadas a la API administrativa vulnerable para crear un nuevo usuario con privilegios administrativos. La explotación exitosa podría permitir al atacante obtener acceso completo a los datos de los clientes y comprometer totalmente la plataforma afectada al iniciar sesión con el usuario administrador recién creado.
Estrategia Aplicar inmediatamente los parches oficiales proporcionados por BLUVOYIX. Mientras se actualiza, restringir el acceso a las APIs administrativas mediante firewalls o listas blancas de IP, y monitorizar activamente cualquier creación inusual de usuarios administrativos para detectar intentos de explotación en tiempo real.
CVE CVE-2026-22239
Severidad CRITICAL (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 16:16 (hora de España)
Fabricante BLUVOYIX
Producto Afectado API de envío de correo electrónico de BLUVOYIX
Versiones Afectadas No especificadas, se recomienda revisar versiones actuales
Exploit Públicos No confirmados
Referencia BLUVOYIX Advisory
Descripción Existe una vulnerabilidad en BLUVOYIX debido a fallos de diseño en la API de envío de correos electrónicos. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas a la API vulnerable. La explotación exitosa permitiría al atacante enviar correos no solicitados en nombre de la empresa.
Estrategia Aplicar inmediatamente cualquier parche oficial disponible para la API de BLUVOYIX. Restringir el acceso a la API de envío de correos mediante autenticación y filtros de IP. Monitorizar tráfico inusual para detectar solicitudes HTTP maliciosas y enviar alertas tempranas sobre intentos de explotación.
CVE CVE-2026-22240
Severidad CRITICAL (10)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 16:16 (hora de España)
Vendor BLUVOYIX
Producto BLUVOYIX
Versiones No especificadas
Exploit Públicos No confirmado
Referencia BLUVOYIX Advisory
Descripción La vulnerabilidad existe en BLUVOYIX debido a una implementación inadecuada del almacenamiento de contraseñas y una exposición subsiguiente a través de APIs no autenticadas. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas al API de usuarios vulnerable para recuperar las contraseñas en texto plano de todos los usuarios. La explotación exitosa podría permitir al atacante obtener acceso total a los datos de los clientes y comprometer completamente la plataforma objetivo iniciando sesión con un correo electrónico y contraseña de administrador expuestos.
Estrategia Aplicar inmediatamente parches oficiales que corrijan la gestión de almacenamiento de contraseñas y restrinjan el acceso a APIs vulnerables mediante autenticación robusta. Además, monitorear accesos anómalos y reforzar controles de acceso a datos sensibles para prevenir explotación activa.
CVE CVE-2025-70968
Severidad CRITICAL (9.8)
Importancia para la empresa ALTA
Publicado mié, 14 ene 2026, 18:16 (hora de España)
Vendor FreeImage
Producto FreeImage
Versiones 3.18.0
Exploit Públicos Confirmados y disponibles públicamente
Referencia GitHub – Exploit PoC</td
Descripción FreeImage 3.18.0 contiene una vulnerabilidad de Use After Free en PluginTARGA.cpp; loadRLE().
Análisis La vulnerabilidad permite que un atacante remoto ejecute código arbitrario al manipular cargas RLE en imágenes TARGA, explotando el acceso a memoria liberada para causar corrupción o ejecución remota. Dado que existen exploits públicos, la amenaza es inmediata y directa.
Estrategia Actualizar a versión corregida si está disponible o reemplazar FreeImage por otra librería; si no hay parche, aislar el procesamiento de imágenes TARGA y limitar la exposición de servicios que usan FreeImage. Monitorear intentos de explotación activa y aplicar defensas de sandboxing para mitigar el riesgo.
Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Resumen vulnerabilidades críticas – 25 elementos (14 ene 2026 Europe/Madrid)

miércoles, 14 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2026-21858 n8n n8n Workflow Automation Se esta Explotando Versiones afectadas no especificadas explícitamente; se recomienda confirmar con el proveedor
CVE-2026-20805 Microsoft AfectadoDesktop Window Manager Se está Explotando No especificadas públicamente Confirmados y activos
CVE-2025-40805 Siemens AfectadoDispositivos afectados con API vulnerables CRITICAL (10) No especificadas explicitamente No
CVE-2025-11250 Zohocorp AfectadoManageEngine ADSelfService Plus CRITICAL (9.1) versiones anteriores a 6519 No
CVE-2026-0879 Mozilla Foundation Firefox y Firefox ESR CRITICAL (9.8) Firefox No
CVE-2026-0881 Mozilla Firefox CRITICAL (10) Versiones anteriores a la 147 No
CVE-2026-0884 Mozilla Foundation Firefox y Firefox ESR CRITICAL (9.8) Firefox No
CVE-2026-0892 Mozilla Foundation Firefox y Thunderbird CRITICAL (9.8) Firefox No
CVE-2026-22755 Vivotek AfectadoDispositivos Vivotek modelos FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391, FE9180, FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371, IB9381, IB9387, IB9389, IB939, IP9165, IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330 (módulos de firmware) CRITICAL (9.3) Versiones de firmware: 0100a, 0106a, 0106b, 0107a, 0107b_1, 0109a, 0112a, 0113a, 0113d, 0117b, 0119e, 0120b, 0121, 0121d, 0121d_48573_1, 0122e, 0124d_48573_1, 012501, 012502, 0125c No
CVE-2025-12548 Eclipse Foundation Eclipse Che che-machine-exec CRITICAL (9) Versiones que usan che-machine-exec con API JSON-RPC No
CVE-2025-47855 Fortinet FortiFone CRITICAL (9.8) 7.0.0 a 7.0.1, 3.0.13 a 3.0.23 No
CVE-2025-64155 Fortinet AfectadoFortiSIEM CRITICAL (9.8) 7.4.0, 7.3.0 a 7.3.4, 7.1.0 a 7.1.8, 7.0.0 a 7.0.4, 6.7.0 a 6.7.10 No
CVE-2025-68271 OpenC3 AfectadoCOSMOS CRITICAL (10) De la 5.0.0 a la 6.10.1 No
CVE-2026-23478 Cal.com Cal.com (software de programación open-source) CRITICAL (10) Desde la 3.1.6 hasta antes de la 6.0.7 No
CVE-2020-36911 Covenant Project Covenant CRITICAL (9.3) 0.1.3 – 0.5
CVE-2022-50893 VIAVIWEB Wallpaper Admin 1.0 CRITICAL (9.3) Versión 1.0
CVE-2022-50912 ImpressCMS ImpressCMS CRITICAL (9.3) 1.4.4 No
CVE-2022-50919 Tdarr Tdarr CRITICAL (9.3) 2.00.15
CVE-2023-54329 Inbit Inbit Messenger CRITICAL (9.3) 4.6.0 – 4.9.0
CVE-2023-54330 Inbit Soft Inbit Messenger CRITICAL (9.3) 4.6.0 a 4.9.0
CVE-2023-54335 eXtplorer Project eXtplorer CRITICAL (9.3) 2.1.14 No
CVE-2023-54339 Webgrind AfectadoWebgrind 1.1 CRITICAL (9.3) Versión 1.1
CVE-2026-22686 Agentfront enclave-vm CRITICAL (10) Versiones anteriores a 2.7.0 No
CVE-2025-14301 Opvius AfectadoIntegration Opvius AI for WooCommerce plugin para WordPress CRITICAL (9.8) Todas las versiones hasta la 1.3.0 inclusive No
CVE-2025-14502 WordPress Plugin Developer News and Blog Designer Bundle plugin para WordPress CRITICAL (9.8) Todas las versiones hasta e incluyendo la 1.1 No

Leer más…

Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Resumen vulnerabilidades críticas – 29 elementos (13 ene 2026 Europe/Madrid)

martes, 13 de enero de 2026 Sin comentarios
CVE Vendor Producto Severidad VAfectadas Exploit
CVE-2026-20805 Microsoft AfectadoMicrosoft Windows Se está Explotando No especificadas (revisar enlace oficial)
CVE-2026-20805 Microsoft AfectadoDesktop Window Manager Se está Explotando No especificado concretamente, afecta versiones actuales y soporte activo Confirmados en explotación activa
CVE-2025-14436 Brevo Brevo for WooCommerce Plugin for WordPress Se está Explotando No especificadas
CVE-2025-51567 kashipara Online Exam System V1.0 CRITICAL (9.1) V1.0
CVE-2025-66802 Sourcecodester Covid-19 Contact Tracing System CRITICAL (9.8) 1.0
CVE-2025-67147 amansuryawanshi AfectadoGym-Management-System-PHP CRITICAL (9.8) 1.0 No
CVE-2025-12420 ServiceNow ServiceNow AI Platform CRITICAL (9.3) Versiones anteriores a la actualización de Octubre 2025 No
CVE-2025-29329 Sagemcom F@st 3686 MAGYAR_4.121.0 CRITICAL (9.8) MAGYAR_4.121.0 No
CVE-2025-67146 AbhishekMali21 GYM-MANAGEMENT-SYSTEM CRITICAL (9.4) 1.0 No
CVE-2026-22794 Appsmith Appsmith Platform CRITICAL (9.6) Versiones anteriores a 1.93 No
CVE-2026-22799 Emlog Emlog Website Building System CRITICAL (9.3) Versiones 2.6.1 y anteriores
CVE-2026-22813 AnomalyCo OpenCode (agente de codificación AI Open Source) CRÍTICA (9.4) Versiones anteriores a 1.1.10 No
CVE-2026-0491 SAP SAP Landscape Transformation CRITICAL (9.1) No especificadas en la descripción disponible No
CVE-2026-0498 SAP SAP S CRITICAL (9.1) Versiones afectadas no especificadas claramente, se recomienda revisar nota oficial No
CVE-2026-0500 SAP Wily Introscope Enterprise Manager (WorkStation) CRITICAL (9.6) No especificadas, afecta versiones que utilizan el componente vulnerable de terceros No
CVE-2026-0501 SAP SAP S CRITICAL (9.9) No especificado; afecta versiones de SAP S No
CVE-2025-10915 Dreamer Themes Dreamer Blog WordPress theme CRITICAL (9.8) versiones hasta la 1.2 inclusive No
CVE-2025-14829 The E-xact Hosted Payment CRITICAL (9.1) hasta la versión 2.0 inclusive No
CVE-2025-40805 Siemens Dispositivos afectados no especificados (probablemente industrial IoT o sistemas SCADA) CRITICAL (10) No especificadas en el aviso público No
CVE-2025-11250 Zohocorp ManageEngine ADSelfService Plus CRITICAL (9.1) versiones anteriores a la 6519 No
CVE-2026-0879 Mozilla Firefox, Firefox ESR CRITICAL (9.8) Firefox No
CVE-2026-0881 Mozilla Firefox CRITICAL (10) versiones anteriores a 147 No
CVE-2026-0884 Mozilla Firefox y Firefox ESR CRITICAL (9.8) Firefox versiones anteriores a 147 y Firefox ESR versiones anteriores a 140.7 No
CVE-2026-0892 Mozilla Firefox y Thunderbird CRITICAL (9.8) Firefox No
CVE-2026-22755 Vivotek Modelos de dispositivos FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391, FE9180, FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371, IB9381, IB9387, IB9389, IB939, IP9165, IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330 (Módulos de firmware) CRITICAL (9.3) Firmware versiones 0100a, 0106a, 0106b, 0107a, 0107b_1, 0109a, 0112a, 0113a, 0113d, 0117b, 0119e, 0120b, 0121, 0121d, 0121d_48573_1, 0122e, 0124d_48573_1, 012501, 012502, 0125c No
CVE-2025-12548 Eclipse Foundation Eclipse Che che-machine-exec CRITICAL (9) Versiones que exponen la API JSON-RPC
CVE-2025-47855 Fortinet FortiFone CRITICAL (9.8) 7.0.0 a 7.0.1, 3.0.13 a 3.0.23 No
CVE-2025-64155 Fortinet AfectadoFortiSIEM CRITICAL (9.8) 7.4.0, 7.3.0 – 7.3.4, 7.1.0 – 7.1.8, 7.0.0 – 7.0.4, 6.7.0 – 6.7.10 No
CVE-2025-68271 OpenC3 COSMOS CRITICAL (10) 5.0.0 a 6.10.1 No

Leer más…

Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades Tags:

Secunia software Inspector

domingo, 11 de enero de 2009 Sin comentarios

¿Te interesa mantener tus programas al día y libres de vulnerabilidades conocidas?. Pues esta herramienta puede resultar muy interesante para aquellos que apuesten por Windows como cerebro de sus equipos: Se trata de Secunia Software Inspector. Es una aplicación gratuita para uso domestico desarrollada por la gente de Secunia, que inspecciona el software que tienes instalado en tu ordenador en busca de vulnerabilidades conocidas, comprobando si dispones de las ultimas versiones, y permitiendo actualizar los mismos a través de una serie de asistentes de una forma sencilla.

También la gente de Secunia dispone de una versión que se puede ejecutar de forma online.

Ya tenemos un complemento de los mas interesante para nuestro Windows Update de Microsoft.

Saludos.

Enviar a un amigo: Share this page via Email
Categories: Check Vulnerabilidades, Herramientas, Seguridad Tags: , ,