Boletín diario · 23 de junio de 2026

FOSSBilling con bypass total de autenticación y múltiples críticas en routers y herramientas IA lideran el boletín del 23 de junio de 2026

Resumen automatizado Vexday · fuentes: NVD, CISA KEV, EPSS

El 23 de junio de 2026 se publicaron 68 nuevas vulnerabilidades, con 9 calificadas como críticas y ninguna en explotación activa confirmada (KEV). El día estuvo dominado por dos fallos graves en FOSSBilling —uno con CVSS 10.0 que permite acceso administrativo completo sin credenciales— y por una cadena de vulnerabilidades que abarca routers domésticos, herramientas de scraping con IA, plugins de WordPress y librerías de validación de seguridad. La ausencia de explotación activa confirmada no debe generar complacencia: varios de estos vectores son trivialmente aprovechables por atacantes sin autenticación.

Resumen del día
  • FOSSBilling expone endpoints de administración sin autenticación (CVSS 10.0) y además sufre inyección de plantillas Twig con potencial de RCE (CVSS 9.4)
  • Dos routers —Totolink EX1200L y NetComm NF20MESH— son vulnerables a RCE por buffer overflow y a bypass de autenticación por clave AES hardcodeada, respectivamente
  • picklescan, herramienta diseñada para detectar archivos pickle maliciosos, puede ser completamente eludida mediante módulos estándar de Python no bloqueados
  • ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus y ADAudit Plus permiten secuestro de cuentas por tickets SSO predecibles
68 nuevas9 críticas0 en explotación activa
Destacados críticos
1
CVE-2026-27604CVSS 10afecta FOSSBilling
Un bypass de autorización en el manejo de roles de API en FOSSBilling permite que cualquier atacante no autenticado invoque métodos de administración en los endpoints /api/system/* sin credenciales, sesión ni token CSRF. El riesgo es máximo (CVSS 10.0): control total del sistema de facturación y gestión de clientes sin necesidad de ninguna cuenta válida.
2
CVE-2026-28496CVSS 9.4afecta FOSSBilling
Inyección de plantillas en el lado del servidor (SSTI) en el motor Twig de FOSSBilling permite a administradores con acceso a plantillas de correo, campañas masivas o adaptadores de pago escalar a ejecución de código arbitrario. Aunque requiere acceso administrativo previo, en entornos con múltiples administradores o tras explotar CVE-2026-27604, el impacto es crítico.
3
CVE-2026-44089CVSS 9.4afecta EX1200L
El router Totolink EX1200L presenta un buffer overflow en la funcionalidad de login del endpoint cgi-bin/cstecgi.cgi, explotable de forma remota para ejecutar código con privilegios de root. El fabricante no respondió a los intentos de contacto, lo que implica que no existe parche oficial disponible.
4
CVE-2026-56315CVSS 9.3afecta picklescan
picklescan, ampliamente usado para validar la seguridad de archivos pickle en pipelines de machine learning, deja sin bloquear al menos siete módulos de la biblioteca estándar de Python que exponen funciones de ejecución de comandos arbitrarios. Un atacante puede incluir archivos pickle maliciosos que superen la validación de picklescan y ejecuten código en el entorno de destino.
5
CVE-2026-12866CVSS 9.2afecta expr-eval
Todas las versiones del paquete expr-eval son vulnerables a ejecución de código mediante la API toJSFunction(), que compila expresiones controladas por el usuario directamente en JavaScript nativo con new Function(). Cualquier aplicación que acepte expresiones de usuarios externos y use esta librería queda expuesta a escape del sandbox y ejecución de código arbitrario.
6
CVE-2026-35019CVSS 9.2afecta NF20MESH
Los routers NetComm NF20MESH con firmware R6B031 y anteriores usan una clave AES-256 hardcodeada para cifrar cookies de sesión en la interfaz de administración web. Un atacante puede forjar una cookie cifrada válida sin conocer credenciales y obtener acceso administrativo completo de forma remota.
7
CVE-2026-56258CVSS 9.2afecta Crawl4AI
Crawl4AI antes de la versión 0.8.8 permite a atacantes no autenticados escribir archivos fuera del directorio previsto mediante ataques de symlink y condiciones de carrera TOCTOU en el parámetro output_path de los endpoints de captura de pantalla y PDF. La combinación de escritura arbitraria de archivos sin autenticación eleva el riesgo a una potencial ejecución remota de código.
8
CVE-2026-9733CVSS 9.1afecta Mojolicious::Plugin::Web::Auth::OAuth2
El módulo Mojolicious::Plugin::Web::Auth::OAuth2 para Perl genera por defecto un parámetro state predecible basado en la hora epoch —filtrada por el encabezado HTTP Date— y la función rand() de baja entropía. Un atacante puede calcular el valor esperado y realizar un ataque de falsificación de solicitud de estado (CSRF OAuth), tomando control de cuentas vinculadas.
9
CVE-2026-11374CVSS 9afecta manageengine_adaudit_plus
ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus y ADAudit Plus generan tickets SSO predecibles para la autenticación de sesión. Un usuario no autenticado puede calcular o predecir estos tickets y secuestrar cuentas activas, lo que representa un riesgo crítico en entornos corporativos que dependen de estas herramientas para la gestión de identidades.
10
CVE-2026-8163HIGH 8.8PoCafecta Infility Global
El plugin de WordPress Infility Global antes de la versión 2.15.19 es vulnerable a inyección SQL explotable por usuarios autenticados con nivel Subscriber o superior. Con una PoC pública disponible, el umbral de explotación es bajo y el riesgo de extracción o manipulación de datos de la base de datos es inmediato.
Recomendación del día: Priorice la actualización inmediata de FOSSBilling a la versión 0.8.0 o superior y aplique los parches disponibles para ManageEngine, Crawl4AI, picklescan y expr-eval; para los routers Totolink EX1200L sin parche disponible, evalúe aislarlos de redes expuestas o reemplazarlos. En todos los casos, revise los controles de acceso a APIs administrativas y valide que los endpoints sensibles requieran autenticación robusta.
El volumen y variedad de vectores críticos publicados hoy —desde APIs sin autenticación hasta herramientas de seguridad que pueden ser eludidas— refuerzan la necesidad de validar continuamente la propia superficie de ataque para saber qué activos quedan realmente expuestos antes de que lo descubra un atacante.Descubre en minutos, con una evaluación gratuita de exposición, dónde está realmente expuesta tu organización.Conoce el Agente de Pentest Autónomo con IA →
Boletines anteriores
24 de junio de 2026Diez vulnerabilidades críticas en explotación activa marcan la agenda de seguridad del 24 de junio23 de junio de 2026FOSSBilling con bypass total de autenticación y múltiples críticas en routers y herramientas IA lideran el boletín del 23 de junio de 2026ver archivo completo →