Boletín diario · 25 de junio de 2026
Día cargado de críticas CVSS 10: Apache Kvrocks, Flowise y plugins WordPress bajo la lupa
El 25 de junio de 2026 cerró con 434 nuevas vulnerabilidades publicadas, 21 de ellas críticas, aunque ninguna figura aún en explotación activa confirmada. Lo más llamativo es la concentración de fallos con puntuación CVSS 10.0 en proyectos de amplio despliegue: Apache Kvrocks, Flowise y el plugin OMGF Pro para WordPress. La ausencia de entradas KEV no debe interpretarse como calma; varios de estos vectores son trivialmente explotables sin autenticación.
Resumen del día
- Tres vulnerabilidades alcanzan CVSS 10.0: desbordamiento de heap en Apache Kvrocks, escritura arbitraria de archivos en Flowise y carga de archivos peligrosos en OMGF Pro.
- Flowise acumula cuatro CVEs críticos publicados el mismo día, todos con rutas hacia ejecución remota de código sin necesidad de credenciales.
- Dell Wyse Management Suite y ToolJet suman RCE adicionales que afectan entornos empresariales y plataformas de herramientas internas.
- Ninguna está en KEV aún, pero la trivialidad de los vectores (path traversal, carga de archivos sin restricción) hace urgente parchear o mitigar hoy.
434 nuevas21 críticas0 en explotación activa
Destacados críticos
1
Desbordamiento de heap en la biblioteca cjson de Lua dentro de Apache Kvrocks (versiones 2.0.4 a 2.15.0); un atacante puede corromper memoria del proceso y potencialmente ejecutar código arbitrario en el servidor de caché. La actualización a 2.16.0 es el único remedio; cualquier instancia expuesta a entradas Lua no controladas representa un riesgo inmediato.
2
Path traversal no autenticado en el endpoint /api/v1/document-store/loader/process de Flowise permite sobrescribir archivos críticos como package.json y lograr RCE al reiniciar la aplicación. El impacto es total sobre el servidor: confidencialidad, integridad y disponibilidad quedan comprometidas sin que el atacante necesite ninguna credencial.
3
OMGF Pro (hasta 5.2.6) no restringe el tipo de archivo subido, lo que permite a un atacante alojar y ejecutar archivos maliciosos directamente en el servidor WordPress. Cualquier sitio con este plugin activo debe considerar la superficie expuesta a carga de archivos como una vía abierta de compromiso.
4
Widget Options para WordPress (≤ 4.2.3) permite a un usuario con rol Contributor ejecutar código arbitrario en el servidor; el bajo privilegio requerido amplía significativamente la superficie de ataque en sitios con registro público o múltiples colaboradores.
5
Dell Wyse Management Suite anterior a WMS 5.5 HF1 acepta datos no confiables mezclados con datos de confianza, permitiendo que un atacante remoto con bajo nivel de privilegios escale hasta ejecución de código; en entornos de gestión de endpoints esto equivale a control total sobre el parque de dispositivos administrados.
6
Manejo incorrecto de permisos en Apache Kvrocks 2.8.0 puede ser abusado para elevar privilegios dentro del servicio; aunque el CVSS es 9.4, la recomendación de actualizar a 2.16.0 aplica también aquí y es prioritaria dado que la versión afectada es puntual y bien identificada.
7
En ToolJet (anterior a 3.20.178-lts) cualquier usuario autenticado con rol Builder puede sobreescribir un plugin de marketplace compartido globalmente con JavaScript arbitrario que se ejecuta del lado del servidor con acceso completo a Node.js; el código malicioso afecta a todos los usuarios de la plataforma en el momento de invocar el plugin comprometido.
8
La función Custom MCP de Flowise (hasta 2.2.7-patch.1) ejecuta comandos del sistema operativo sin sandbox y sin control de acceso basado en roles, lo que convierte cualquier sesión autenticada —e incluso instalaciones sin autenticación habilitada— en un vector directo de RCE con los privilegios del proceso Flowise.
9
Flowise (hasta 2.2.8) no valida que los parámetros chatflowId y chatId sean UUIDs o números en operaciones de archivos; un atacante no autenticado puede usar path traversal para acceder o manipular archivos arbitrarios del sistema a través del endpoint /api/v1/chatflows.
10
Flowise hasta 2.2.4 expone un endpoint de carga de archivos adjuntos completamente abierto cuando el almacenamiento es local; combinado con path traversal en chatId y chatflowId, un atacante sin credenciales puede depositar archivos maliciosos en cualquier directorio del servidor y preparar la ejecución remota de código.
Recomendación del día: Priorice la actualización inmediata de Apache Kvrocks a 2.16.0 y de Flowise a 3.0.6 o superior; para los entornos WordPress, aplique parches de Widget Options y OMGF Pro o desactive temporalmente los plugins hasta tener versiones corregidas disponibles. En paralelo, revise los controles de acceso de ToolJet y Dell WMS para limitar la superficie expuesta mientras se despliegan los parches.
Dado que varios de estos vectores no requieren autenticación y abarcan desde plataformas de IA hasta suites de gestión empresarial, es el momento oportuno para validar qué servicios propios están realmente expuestos y en qué versiones operan.Cada CVE de arriba es una puerta posible — descubre cuáles están abiertas en tu entorno con un diagnóstico gratuito de superficie de ataque.Conoce el Agente de Pentest Autónomo con IA →Boletines anteriores
25 de junio de 2026 — Día cargado de críticas CVSS 10: Apache Kvrocks, Flowise y plugins WordPress bajo la lupa24 de junio de 2026 — Diez vulnerabilidades críticas en explotación activa marcan la agenda de seguridad del 24 de junio23 de junio de 2026 — FOSSBilling con bypass total de autenticación y múltiples críticas en routers y herramientas IA lideran el boletín del 23 de junio de 2026ver archivo completo →