Boletín diario · 24 de junio de 2026

Diez CVEs en explotación activa sacuden infraestructuras críticas: Joomla, Splunk, Oracle y más

Resumen automatizado Vexday · fuentes: NVD, CISA KEV, EPSS

Aunque las últimas 24 horas no registraron nuevas entradas en el catálogo de vulnerabilidades, el período reciente acumula diez fallos ya en explotación activa que comprometen desde gestores de contenido y plataformas SIEM hasta gateways VPN y entornos ERP corporativos. La combinación de CVSS críticos, pruebas de concepto públicas y altos índices EPSS convierte este conjunto en una amenaza inmediata para cualquier organización que no haya aplicado los parches correspondientes.

Destacados críticos
1
CVE-2026-48907KEVCVSS 10PoCafecta Joomla Content Editor (JCE) extension for Joomla
La extensión JCE para Joomla permite a un atacante no autenticado crear perfiles de editor y cargar código PHP arbitrario al servidor, lo que equivale a una toma de control completa del sitio. Con CVSS 10.0, EPSS del 80% y PoC pública, cualquier instalación de Joomla con JCE expuesta en internet debe considerarse comprometida hasta que se actualice.
2
CVE-2026-20253KEVCVSS 9.8PoCafecta Splunk Enterprise
Un endpoint del servicio PostgreSQL auxiliar de Splunk Enterprise carece de controles de autenticación, permitiendo a cualquier usuario alcanzable por red crear o truncar archivos arbitrarios sin credenciales. El impacto sobre la integridad de datos de seguridad y la disponibilidad de la plataforma SIEM es severo, especialmente con EPSS del 92%.
3
CVE-2026-35273KEVCVSS 9.8PoCafecta PeopleSoft Enterprise PeopleTools
Un atacante no autenticado con acceso HTTP puede comprometer completamente instancias de PeopleSoft Enterprise PeopleTools 8.61 y 8.62 a través del componente de gestión de entornos de actualización. La facilidad de explotación y el CVSS de 9.8 convierten este fallo en prioridad absoluta para entornos ERP de Oracle.
4
CVE-2026-50751KEVCVSS 9.3PoCafecta Quantum Security Gateway
Una debilidad lógica en la validación de certificados del protocolo IKEv1 deprecado en Quantum Security Gateway permite a un atacante remoto no autenticado saltarse la autenticación de usuario y establecer una conexión VPN de acceso remoto sin contraseña válida. Los gateways expuestos con IKEv1 habilitado deben desactivar dicho protocolo de forma urgente.
5
CVE-2026-45247KEVCVSS 9.3PoCafecta Full Page Cache Warmer for Magento 2
El plugin Full Page Cache Warmer de Mirasvit para Magento 2 (versiones anteriores a 1.11.12) permite inyección de objetos PHP mediante la cookie CacheWarmer sin requerir autenticación, facilitando la ejecución remota de código a través de cadenas de gadgets presentes en Magento. Tiendas en línea sobre esta plataforma son objetivo directo de ataques automatizados.
6
CVE-2026-48027KEVCVSS 9.3afecta nx-console
Una versión maliciosa de la extensión Nx Console (18.95.0) estuvo disponible durante aproximadamente 18 minutos en Visual Studio Marketplace y 36 minutos en OpenVSX en mayo de 2026, introduciendo código comprometido en entornos de desarrollo. Los equipos que descargaron esa versión específica deben asumir compromiso del entorno de desarrollo y revisar dependencias y secretos expuestos.
7
CVE-2026-11645KEVHIGH 8.8PoCafecta Chrome
Una lectura y escritura fuera de límites en el motor V8 de Google Chrome permite la ejecución de código arbitrario dentro del sandbox del navegador mediante una página HTML manipulada. Dado que afecta a versiones anteriores a 149.0.7827.103 y cuenta con PoC pública, la actualización inmediata del navegador es indispensable en todos los endpoints.
8
CVE-2026-54420KEVHIGH 8.5PoCafecta cPanel Plugin
El plugin LiteSpeed cPanel (anterior a 2.4.8) en servidores de hosting compartido con CloudLinux/CageFS gestiona incorrectamente los enlaces simbólicos provistos por usuarios con acceso FTP o web shell, permitiendo escalar privilegios entre cuentas. Ya explotado en la naturaleza desde mayo de 2026, representa un riesgo directo para proveedores de hosting compartido.
9
CVE-2025-48595KEVHIGH 8.4PoCafecta Android
Un desbordamiento de entero en múltiples componentes de Android permite la escalada local de privilegios sin interacción del usuario ni permisos adicionales, posibilitando la ejecución de código con privilegios elevados en el dispositivo. Los fabricantes y administradores de flotas de dispositivos Android deben priorizar la distribución del parche correspondiente.
10
CVE-2026-20245KEVHIGH 7.8PoCafecta Cisco Catalyst SD-WAN Controller
Un atacante local autenticado en los componentes CLI de Cisco Catalyst SD-WAN (Controller, Manager y Validator) puede ejecutar comandos arbitrarios como root mediante un archivo especialmente construido, debido a una validación insuficiente de entradas. En arquitecturas SD-WAN donde múltiples administradores comparten acceso, este fallo representa un vector de escalada de privilegios crítico.
Recomendación del día: Aplique de inmediato los parches disponibles para las diez vulnerabilidades listadas, priorizando los componentes con acceso no autenticado desde internet: JCE para Joomla, Splunk Enterprise, PeopleSoft y el gateway VPN de Quantum. Para los entornos donde el parcheo inmediato no sea posible, implemente controles compensatorios como restricción de acceso por red, desactivación de protocolos obsoletos como IKEv1 y auditoría de accesos recientes.
Antes de que un atacante lo encuentre, encuéntralo tú: haz una evaluación inicial de exposición sin costo y comprueba si tu infraestructura es vulnerable a fallas como estas.Conoce el Agente de Pentest Autónomo con IA →
Boletines anteriores
23 de junio de 2026FOSSBilling con bypass total de autenticación y múltiples críticas en routers y herramientas IA lideran el boletín del 23 de junio de 2026ver archivo completo →