Boletín diario · 24 de junio de 2026
Diez vulnerabilidades críticas en explotación activa marcan la agenda de seguridad del 24 de junio
Aunque el 24 de junio no registró nuevas CVEs publicadas, el catálogo de vulnerabilidades activamente explotadas (KEV) acumula diez entradas de alto impacto que exigen atención inmediata de los equipos defensivos. El rango va desde ejecución remota de código sin autenticación en Joomla, Splunk y PeopleSoft hasta bypass de VPN en Quantum Security Gateway y escalada de privilegios en Android y Cisco SD-WAN. La presencia de PoC pública en nueve de los diez casos eleva significativamente el riesgo de explotación masiva.
Resumen del día
- 10 vulnerabilidades en explotación activa (KEV), todas con CVSS alto o crítico y la mayoría con PoC pública disponible.
- Joomla JCE, Splunk Enterprise y PeopleSoft encabezan la lista con CVSS 10.0 y 9.8, permitiendo RCE sin autenticación.
- Quantum Security Gateway expone bypass de autenticación VPN vía IKEv1 deprecado, riesgo directo de acceso remoto no autorizado.
- Android, Chrome, Cisco SD-WAN y un plugin comprometido de Nx Console completan un panorama de superficie de ataque muy amplia.
Destacados críticos
1
La extensión JCE para Joomla permite a cualquier usuario no autenticado crear perfiles de editor y cargar código PHP arbitrario, lo que equivale a control total del servidor web afectado. Con CVSS 10.0, EPSS del 80 % y PoC pública, es la amenaza más urgente del periodo.
2
Un endpoint del servicio sidecar de PostgreSQL en Splunk Enterprise carece de controles de autenticación, permitiendo a cualquier atacante alcanzable por red crear o truncar archivos arbitrarios. Las versiones 10.2 anteriores a 10.2.4 y 10.0 anteriores a 10.0.7 están expuestas; el EPSS del 92 % indica altísima probabilidad de explotación activa.
3
PeopleSoft Enterprise PeopleTools 8.61 y 8.62 permite a un atacante no autenticado comprometer completamente la instancia mediante HTTP, con posibilidad de toma de control total del sistema. La combinación de acceso sin credenciales y componente de gestión de entornos hace de este vector especialmente atractivo para actores avanzados.
4
Una debilidad en la validación de certificados IKEv1 (ya deprecado) en Quantum Security Gateway permite que un atacante remoto sin credenciales establezca una conexión VPN de acceso remoto válida, eludiendo por completo la autenticación de usuarios. Deshabilitar IKEv1 es la mitigación más directa disponible.
5
El plugin Full Page Cache Warmer para Magento 2 (antes de 1.11.12) acepta objetos PHP serializados en la cookie CacheWarmer sin restricción, permitiendo inyección de objetos y ejecución remota de código sin autenticación. Las cadenas de gadgets disponibles en Magento amplifican el impacto en entornos de comercio electrónico.
6
Una versión maliciosa de Nx Console (18.95.0) estuvo disponible en Visual Studio Marketplace y OpenVSX durante aproximadamente 18 y 36 minutos respectivamente en mayo de 2026, afectando a desarrolladores que la instalaron en ese intervalo. Los entornos de desarrollo comprometidos pueden convertirse en vector de entrada a pipelines CI/CD y repositorios de código.
7
Una lectura y escritura fuera de límites en el motor V8 de Chrome (versiones anteriores a 149.0.7827.103) permite a un atacante remoto ejecutar código arbitrario dentro del sandbox mediante una página HTML manipulada. Dado que Chrome es omnipresente en entornos corporativos, la superficie de exposición es extremadamente amplia.
8
El plugin cPanel de LiteSpeed (antes de 2.4.8) gestiona incorrectamente los symlinks en servidores de hosting compartido bajo CloudLinux/CageFS, permitiendo a un usuario con acceso FTP o web shell escalar privilegios sobre otros inquilinos del mismo servidor. Fue explotado activamente en mayo de 2026.
9
Un desbordamiento de entero en múltiples componentes de Android permite escalada de privilegios local sin necesidad de permisos adicionales ni interacción del usuario. Afecta a una enorme base de dispositivos y la ausencia de parche en equipos sin soporte activo representa un riesgo persistente.
10
Un atacante local autenticado en Cisco Catalyst SD-WAN Controller (vSmart, vManage o vBond) puede ejecutar comandos arbitrarios como root suministrando un archivo manipulado, debido a validación insuficiente de entradas en la CLI. En infraestructuras SD-WAN corporativas, el compromiso de estos controladores puede derivar en control total de la red de transporte.
Recomendación del día: Priorice la aplicación inmediata de parches para Joomla JCE, Splunk Enterprise y PeopleSoft dada su combinación de CVSS máximo, EPSS elevado y PoC pública; en paralelo, revise y deshabilite protocolos deprecados como IKEv1 en gateways VPN y audite extensiones de IDE instaladas en entornos de desarrollo. Para los activos sin parche disponible, implemente controles compensatorios como segmentación de red y monitoreo de comportamiento anómalo.
Dado que la mayoría de estas vulnerabilidades son explotables sin autenticación o con acceso mínimo, es fundamental validar de forma continua la propia superficie de ataque para determinar cuáles de estos vectores están realmente expuestos en su entorno antes de que un atacante lo descubra primero.Antes de que un atacante lo encuentre, encuéntralo tú: haz una evaluación inicial de exposición sin costo y comprueba si tu infraestructura es vulnerable a fallas como estas.Conoce el Agente de Pentest Autónomo con IA →Boletines anteriores
25 de junio de 2026 — Día cargado de críticas CVSS 10: Apache Kvrocks, Flowise y plugins WordPress bajo la lupa24 de junio de 2026 — Diez vulnerabilidades críticas en explotación activa marcan la agenda de seguridad del 24 de junio23 de junio de 2026 — FOSSBilling con bypass total de autenticación y múltiples críticas en routers y herramientas IA lideran el boletín del 23 de junio de 2026ver archivo completo →