Alertas de Seguridad
Vulnerabilidad Critica (CVE-2026-0300) - Desbordamiento de Búfer en PAN-OS de Palo Alto Networks
Se ha descubierto una falla de seguridad muy grave en los cortafuegos Palo Alto Networks (PAN-OS) que protegen la frontera digital de las empresas. Este problema permite a atacantes en internet tomar el control total del equipo con los privilegios más altos de administrador ("root") sin conocer ningún usuario o contraseña. El error ocurre en la pantalla de inicio de sesión de red ("portal cautivo"), el cual se bloquea al recibir datos maliciosos que saturan su memoria de procesamiento. Debido a que este fallo está siendo aprovechado en ataques reales en todo el mundo, es sumamente urgente actualizar los equipos de inmediato o aplicar las medidas de bloqueo temporal recomendadas para evitar intrusiones en la red corporativa.
Vulnerabilidad Alta (CVE-2026-31431) - Escalada de Privilegios Local "Copy Fail"
Fallo de lógica en el kernel Linux que permite a un usuario local sin privilegios obtener acceso de superusuario (root) de forma 100% fiable mediante una corrupción determinista de la caché de páginas en memoria RAM.
Vulnerabilidad Critica (CVE-2026-35616) - Ejecución Remota de Código (RCE) en Fortinet FortiClientEMS
Vulnerabilidad crítica de control de acceso en la API de FortiClientEMS que permite a atacantes no autenticados eludir la seguridad y ejecutar comandos o código arbitrario en el servidor de gestión.
Vulnerabilidad Critica (CVE-2026-34560) - Toma de Control de Cuenta vía XSS Ciego en CI4MS
Vulnerabilidad de Scripting entre Sitios (XSS) ciego y almacenado de tipo DOM que permite a un atacante no autenticado inyectar código malicioso en los registros del sistema para secuestrar sesiones administrativas.
Vulnerabilidad Crítica (CVE-2026-35459) - SRF en pyLoad-ng
Fallo de seguridad tipo Server-Side Request Forgery (SSRF) que permite a usuarios autenticados eludir filtros de red mediante redirecciones HTTP automáticas para acceder a infraestructura interna y exfiltrar metadatos sensibles de la nube.
Vulnerabilidad Critica (CVE-2026-20889) - Desbordamiento de búfer en la biblioteca LibRaw en distribuciones Linux
Se ha identificado una vulnerabilidad crítica en la biblioteca LibRaw (específicamente en la funcionalidad x3f_thumb_loader) que permite un desbordamiento de búfer en el montículo (heap-based buffer overflow) al procesar archivos maliciosos especialmente diseñados. Actualmente, no existe un parche oficial disponible por parte de los proveedores de varias distribuciones Linux.
Vulnerabilidad (CVE-2026-33824) - Ejecución Remota de Código (RCE) en Windows IKE
Se ha detectado una vulnerabilidad crítica de tipo "Double Free" en las extensiones del servicio Internet Key Exchange (IKE) de Windows. Esta falla permite a un atacante no autenticado ejecutar código arbitrario con privilegios de SYSTEM a través de la red, simplemente enviando paquetes UDP malformados a un sistema vulnerable.
Vulnerabilidad (CVE-2026-39363) - Lectura Arbitraria de Archivos en Vite en Servidor
Se ha identificado una vulnerabilidad crítica de divulgación de información en el servidor de desarrollo de **Vite**. Un atacante remoto puede omitir los controles de acceso al sistema de archivos mediante una conexión WebSocket maliciosa, permitiéndole leer cualquier archivo del servidor de desarrollo (como archivos `.env`, código fuente o credenciales).
Vulnerabilidad (CVE-2026-32746) - Ejecución Remota de Código (RCE) sin autenticación en GNU inetutils telnetd
Se ha divulgado una vulnerabilidad crítica, rastreada como CVE-2026-32746, en el servidor Telnet del paquete GNU inetutils. Este fallo de hace mas de 30 años permite a un atacante remoto, sin necesidad de credenciales o autenticación, provocar un desbordamiento de búfer. La explotación exitosa puede resultar en la caída del servicio o, en el peor de los casos, en la ejecución remota de código con privilegios de administrador (root).
Vulnerabilidad (CVE-2026-25755) - Inyección de Objetos PDF y Ejecución de Código en la biblioteca jsPDF
Se ha identificado una vulnerabilidad de severidad alta en jsPDF, una popular biblioteca de JavaScript utilizada para generar documentos PDF. La falla reside en la falta de sanitización y escape adecuado de caracteres en el método addJS, lo que permite a un atacante inyectar objetos PDF arbitrarios en el archivo generado. Si el usuario final abre este documento en un visor de PDF que soporte y tenga habilitada la ejecución de scripts, el atacante puede lograr la ejecución de código malicioso en el contexto del lector PDF.