CVE-2026-35273 en Oracle PeopleSoft (CVSS 9,8): RCE sin autenticación explotado como zero-day por el grupo UNC6240 desde el 27 de mayo hasta el 9 de junio contra más de 100 organizaciones, el 68% universidades, confirmado por Mandiant y Google Threat Intelligence Group. Oracle publicó el aviso el 10 de junio sin parche completo disponible. CVE-2026-45657 en el kernel de Windows (CVSS 9,8): use-after-free gusanable en el procesamiento TCP/IP que permite RCE remoto sin autenticación ni interacción del usuario con privilegios SYSTEM. Parcheado el 9 de junio, el Zero Day Initiative advierte que todos los investigadores del mundo intentan crear exploit funcional a partir del parche, comparando el fallo en perfil con EternalBlue. CVE-2026-47291 en Windows HTTP.sys (CVSS 9,8): desbordamiento de entero en el driver del kernel HTTP que permite RCE sin autenticación. Microsoft lo califica como más probable de ser explotado y ha publicado una mitigación de registro para sistemas que no puedan parchear de inmediato.
RoguePlanet, séptimo zero-day de Microsoft Defender publicado por Nightmare Eclipse el 10 de junio horas después del Patch Tuesday de junio: condición de carrera TOCTOU que abre una shell con privilegios SYSTEM en Windows 10 y Windows 11 totalmente actualizados con KB5094126. Sin parche oficial ni CVE asignado. ThreatLocker reprodujo el exploit con éxito y confirmó que el application allowlisting lo bloquea. CVE-2026-5027 en Langflow (CVSS 8,8): path traversal sin parche en el endpoint de subida de ficheros de la plataforma de desarrollo de aplicaciones de IA, confirmado bajo explotación activa por VulnCheck el 11 de junio. Es el quinto fallo de Langflow explotado en 2026, afectando a cerca de 7.000 instancias expuestas públicamente. CISA incorpora el 11 de junio tres CVEs al catálogo KEV con plazo federal hasta el 25 de junio: CVE-2026-20245 en Cisco Catalyst SD-WAN Manager (RCE como root, sexto zero-day de SD-WAN en 2026), CVE-2026-8732 en Ivanti Sentry (CVSS 9,8, creación de cuentas de administrador sin autenticación) y CVE-2026-11645 en Google Chrome V8.
El Patch Tuesday de junio de 2026 publica el 9 de junio 198 vulnerabilidades corregidas incluyendo tres zero-days: el parche definitivo para CVE-2026-42897, el XSS en Outlook Web Access de Exchange bajo explotación activa desde mayo, un nuevo zero-day CVE-2026-45586 en Windows CTFMON con exploit público funcional en sistemas totalmente parcheados, y CVE-2026-50507 en BitLocker. CVE-2026-44963 en Veeam Backup and Replication (CVSS 9,4): RCE en el servidor de copias de seguridad ejecutable por cualquier usuario de dominio con bajos privilegios, con PoC público disponible desde el 10 de junio. Los grupos de ransomware Akira, Fog y Frag explotan históricamente los fallos de Veeam. El gusano autorreplicante Miasma comprometió 73 repositorios de Microsoft en GitHub el 5 de junio inyectando payloads en ficheros de configuración que se ejecutan automáticamente al abrir el repositorio en herramientas de codificación con IA como Claude Code, Gemini CLI, VS Code y Cursor para robar credenciales de nube y desarrolladores.
CVE-2026-50751 en Check Point Remote Access VPN y Mobile Access (CVSS 9,3): bypass de autenticación en implementaciones con el protocolo IKEv1 obsoleto explotado como zero-day desde el 7 de mayo, vinculado a un afiliado de Qilin ransomware y añadido al KEV de CISA el 8 de junio con plazo federal hasta el 11 de junio. CVE-2026-23111 en el subsistema nf_tables del kernel de Linux (CVSS 7,8): un error de un solo carácter en el código de filtrado de paquetes permite escalar a root y romper el aislamiento de contenedores. El parche lleva disponible desde febrero pero Exodus Intelligence publicó el exploit funcional completo el 8 de junio, convirtiendo una vulnerabilidad conocida en una amenaza inmediata para todos los sistemas Linux sin parchear. CVE-2026-11645 en Google Chrome (CVSS 8,8): acceso fuera de límites en el motor V8 bajo explotación activa confirmada, corregido en Chrome 149.0.7827.103 publicado el 6 de junio.
CISA añade CVE-2026-20182 en Cisco Catalyst SD-WAN al catálogo KEV tras confirmarse explotación activa de un bypass de autenticación crítico con CVSS 10,0. Windows afronta dos zero-days públicos, YellowKey y GreenPlasma, que afectan a BitLocker, WinRE y elevación local de privilegios sin parche oficial en el momento de publicación. Linux suma Fragnesia, CVE-2026-46300, una nueva elevación local a root por corrupción de page cache con PoC público y mitigaciones por distribución.
Microsoft publica el martes de parches de mayo con 138 vulnerabilidades corregidas, 30 de ellas críticas, incluyendo RCE en Windows DNS y Netlogon. Exim corrige CVE-2026-45185, una vulnerabilidad crítica en configuraciones con GnuTLS, STARTTLS y CHUNKING que puede permitir ejecución remota de código. Fortinet publica actualizaciones para CVE-2026-44277 en FortiAuthenticator y CVE-2026-26083 en FortiSandbox, dos fallos críticos CVSS 9,1 explotables sin autenticación.
CVE-2026-42208 en LiteLLM Proxy (CVSS 9,3): inyección SQL pre-autenticación en el proxy de IA más extendido del mercado, añadida al KEV de CISA el 8 de mayo con plazo federal vencido hoy 11 de mayo. Explotada en 36 horas desde su divulgación, expone todas las claves API de los proveedores de modelos gestionadas por el proxy. CVE-2026-0300 en Palo Alto Networks PAN-OS (CVSS 9,3): desbordamiento de búfer en el Captive Portal de firewalls PA-Series y VM-Series bajo explotación activa confirmada que permite RCE como root sin autenticación. El primer parche llega mañana 13 de mayo. CVE-2026-7482 "Bleeding Llama" en Ollama (CVSS 9,1): lectura fuera de límites en el cargador de modelos GGUF que permite a un atacante remoto no autenticado filtrar toda la memoria del proceso del servidor, afectando a más de 300.000 instancias expuestas públicamente.
Dirty Frag (CVE-2026-43284 y CVE-2026-43500): el investigador Hyunwoo Kim publica el 7 de mayo un segundo LPE universal en el kernel de Linux tras romperse el embargo de divulgación coordinada. El exploit encadena dos fallos de caché de páginas en los subsistemas xfrm-ESP y RxRPC y permite escalar a root en un único comando en todas las distribuciones modernas desde 2017. CVE-2026-43284 tiene parche en el kernel mainline desde el 8 de mayo; CVE-2026-43500 carece aún de parche. Ivanti divulga el 7 de mayo el zero-day CVE-2026-6973 en Endpoint Manager Mobile (EPMM), que permite a un atacante con credenciales de administrador ejecutar código arbitrario en instalaciones on-premises. CISA lo incorpora al catálogo KEV el mismo día con un plazo federal de cuatro días. Es la trigesimocu arta vulnerabilidad de Ivanti en el KEV desde 2021. En el mismo boletín se parchean cuatro CVEs adicionales de alta severidad. El 7 de mayo se publican además los detalles de PCPJack, un framework de robo de credenciales cloud que encadena cinco CVEs para propagarse de forma autorreplicante entre instancias expuestas, expulsa activamente los artefactos del actor rival TeamPCP y exfiltra credenciales de más de 59 plataformas cloud, de contenedores, de desarrollo y financieras.
CIBEREXT, la plataforma de ciberseguridad empresarial de la Junta de Extremadura, organiza durante el mes de mayo cinco talleres prácticos y gratuitos en los Puntos de Acompañamiento Empresarial (PAE) de Navalmoral de la Mata, Plasencia, Mérida, Don Benito/Villanueva y Los Santos de Maimona. En sesiones de una hora, microempresas y autónomos descubrirán qué información de su negocio está expuesta en Internet y cómo reducir esa exposición sin coste, con la ayuda directa del equipo técnico de CIBEREXT. Plazas limitadas e inscripción gratuita.
CVE-2026-41940 en cPanel y WHM (CVSS 9,8): el bypass de autenticación zero-day activo desde febrero ha escalado el 4 y 5 de mayo a explotación masiva multivector con ransomware que cifra ficheros con la extensión .sorry. Censys identifica 8.859 hosts comprometidos y los investigadores de Ctrl-Alt-Intel documentan además una campaña de espionaje diferenciada contra entidades gubernamentales y militares en el Sudeste Asiático. CVE-2026-31431 "Copy Fail" en el kernel de Linux (CVSS 7,8): un fallo lógico introducido en 2017 en el módulo algif_aead permite a cualquier usuario no privilegiado escalar a root de forma determinista en todas las distribuciones modernas mediante un script de 732 bytes. CISA lo incorporó al catálogo KEV el 1 de mayo con explotación activa confirmada y plazo federal hasta el 15 de mayo. CVE-2026-0300 en Palo Alto Networks PAN-OS (CVSS 9,3): desbordamiento de búfer en el servicio de Captive Portal que permite ejecución remota de código con root sin autenticación en firewalls de las series PA y VM. No habrá parche hasta el 13 de mayo.
CVE-2026-40050 en CrowdStrike LogScale (CVSS 9,8): path traversal crítico no autenticado en el endpoint de API de clúster de instalaciones autoalojadas que permite leer ficheros arbitrarios del servidor, incluyendo credenciales, configuraciones y logs de seguridad. CVE-2026-33694 en Tenable Nessus Agent para Windows (CVSS 8,2): fallo de junction NTFS que permite a un atacante local eliminar ficheros arbitrarios con privilegios SYSTEM y escalar a ejecución de código con los máximos permisos del sistema. Microsoft confirma el 28 de abril la explotación activa de CVE-2026-32202 en Windows Shell por APT28, un fallo parcheado en abril cuyo CVSS de 4,3 subestimaba el riesgo real al formar parte de una cadena de coerción NTLM via archivos LNK contra Ucrania y países de la UE.
CISA incorpora cuatro vulnerabilidades al catálogo Known Exploited Vulnerabilities el 24 de abril, dos en SimpleHelp (CVE-2024-57726 con CVSS 9,9 y CVE-2024-57728), una en Samsung MagicINFO 9 Server (CVE-2024-7399) y otra en D-Link DIR-823X (CVE-2025-29635), todas bajo explotación activa y vinculadas a la operación de ransomware DragonForce y a la botnet Mirai. Kaspersky presenta PhantomRPC en Black Hat Asia 2026, una nueva vulnerabilidad arquitectónica en Windows RPC que permite escalar a SYSTEM en todas las versiones de Windows mediante cinco caminos de explotación distintos sin parche oficial de Microsoft. Socket Research Team identifica un nuevo clúster de 73 extensiones durmientes en el marketplace Open VSX vinculadas a la campaña GlassWorm, con al menos 6 ya activadas con malware contra entornos de desarrollo.
CISA incorpora la vulnerabilidad CVE-2026-39987 en Marimo al catálogo KEV por explotación activa con ejecución remota de código sin autenticación. CVE-2026-33626 SSRF en LMDeploy se explotó en menos de 13 horas tras su publicación contra infraestructura de IA, según análisis de Sysdig. GitLab publica parches de emergencia el 22 de abril para 11 vulnerabilidades, incluidas tres de severidad alta que permiten secuestro de sesión y robo de tokens. Apple libera iOS 26.4.2 e iOS 18.7.8 para corregir un fallo en Notification Services que conservaba mensajes supuestamente eliminados, incluso de aplicaciones cifradas como Signal.
Dos zero-days sin parche oficial en Microsoft Defender (RedSun y UnDefend) están siendo explotados activamente para escalar a SYSTEM y cegar el antivirus. La vulnerabilidad CVE-2026-33032 en nginx-ui permite tomar el control total de servidores Nginx en dos peticiones HTTP mediante abuso de integraciones MCP. NIST cambia desde el 15 de abril su política de enriquecimiento de CVEs en la National Vulnerability Database.
Resumen ciberseguridad para empresas y pymes de Extremadura. El Patch Tuesday de abril corrige 165 vulnerabilidades incluyendo un zero-day en SharePoint en explotación activa y un RCE crítico en el servicio IKE de Windows. CISA incluye Apache ActiveMQ en el catálogo KEV. INCIBE-CERT publica avisos sobre FortiSandbox, Tenable, Cisco y Drupal. El ransomware Qilin y los ataques de fuerza bruta contra firewalls marcan el panorama de amenazas de la semana.
Se explota activamente CVE-2026-0740 en el plugin Ninja Forms de WordPress, con mas de 3.600 ataques bloqueados en 24 horas y riesgo real de ejecucion remota de codigo en todas las instalaciones anteriores a la version 3.3.27. Se suma la consolidacion del Ransomware 4.0 potenciado con inteligencia artificial, que automatiza ataques y usa deepfakes de voz para suplantar a directivos. Las ciberestafas representan ya el 40% de todos los incidentes de seguridad en Espana segun INCIBE, y las empresas espanolas reciben una media de 1.911 ataques semanales, un 66% mas que el ano anterior. Analisis actualizado para empresas y pymes de Extremadura.