Seguridad y Riesgo
50 análisis
Una vulnerabilidad en la policy SetIntegrationRequest de Apigee recibió un 9,2 en el CVSS y permite exfiltrar tokens de cuenta de servicio, pero depende de una configuración insegura previa en el proxy de API.
Solicitud forjada permite ejecución remota de código sin autenticación en los Web Server Plug-ins de WebSphere 8.5 y 9.0. El mismo día, IBM publicó otra vulnerabilidad con nota 9.8 en Engineering Lifecycle Management.
La brecha en el virt-handler de KubeVirt permite que un usuario con permisos de edición en un único namespace secuestre el socket de CRI-O y comprometa todo el nodo. Red Hat ha publicado parches para las líneas a partir de la versión 4.12.
Una vulnerabilidad sin autenticación en GitHub Enterprise Server recibió un puntaje de 9,2 en CVSS y permite redirigir llamadas internas para filtrar credenciales. Las correcciones están en las versiones 3.16.20, 3.17.17, 3.18.11 y 3.19.8.
En la madrugada del 22 de mayo, un agente con acceso organizacional a GitHub reescribió 502 etiquetas históricas de cuatro paquetes PHP, inyectando un backdoor que exfiltra credenciales de cloud, tokens CI/CD y secretos de Kubernetes sin alertas visibles.
El grupo de extorsión CoinbaseCartel reclamó acceso al dominio panasonic.aero el 22 de mayo de 2026. Panasonic Avionics atiende a más de 200 aerolíneas y cubre aproximadamente el 70% de la flota global de aeronaves equipadas con sistemas IFE.
El CISO de GitHub atribuyó este jueves la invasión de 3,800 repositorios internos a una versión maliciosa de la extensión Nx Console para VS Code, ligada al ataque de cadena de suministro contra paquetes npm de TanStack el 11 de mayo.
El grupo TeamPCP comprometió un dispositivo de un empleado de GitHub con una extensión adulterada de VS Code para exfiltrar alrededor de 3.800 repositorios internos. La empresa confirma que los datos de los clientes no se vieron afectados.
Sin requerir autenticación, la CVE-2026-9082 recibió una puntuación de 20/25 en el sistema de riesgo de Drupal y puede llevar a la ejecución remota de código en instalaciones con PostgreSQL. Parche disponible este jueves.
El grupo Nitrogen reclama la exfiltración de 8 TB en 11 millones de archivos de Foxconn, incluidos dibujos técnicos de proyectos de Apple, Google y Nvidia. AppleInsider confirmó hoy la presencia de esquemáticos de servidores Apple en el material filtrado.
Vulnerabilidad crítica CVE-2026-42945, presente en NGINX desde 2008, fue explotada activamente tres días después de la publicación de prueba de concepto. Afecta todas las versiones entre 0.6.27 y 1.30.0, responsables del 32,8% de los servidores web globales.
SAP S/4HANA recibe corrección para inyección SQL con CVSS 9.6 en el mismo mes en que más de la mitad de los clientes globales concluye la migración a la versión. FortiAuthenticator y FortiSandbox son actualizados contra fallos de control de acceso, y n8n acumula cinco CVEs 9.4.