
Mozilla lanzó actualizaciones que abordan dos fallas críticas en Firefox y advirtió que el código de explotación se ha hecho público.
Las vulnerabilidades se enumeran a continuación:
CVE-2026-15718, puntero de JavaScript no válido: componente WebAssembly CVE-2026-15719, aislamiento de sitio DOM: componente de navegación
«Si bien somos conscientes de que el código que explota esta vulnerabilidad está disponible públicamente, no conocemos ningún ataque real que aproveche esta falla», dijo Mozilla en su aviso. Ambas vulnerabilidades se resuelven en la versión 152.0.6 de Firefox.
Este lanzamiento se produce después de que Google enviara correcciones para 15 fallas de seguridad, incluidos dos errores críticos de uso después de la liberación (CVE-2026-15764 y CVE-2026-15765) en Ozone, una capa de abstracción multiplataforma que permite a los navegadores interactuar de forma nativa con varios servidores de visualización y sistemas de ventanas. Admite Linux, ChromeOS y Fuchsia.
Según la descripción de CVE-2026-15764 en la Base de datos nacional de vulnerabilidades (NVD) del NIST: «La liberación de Ozone en Google Chrome en Linux antes de 150.0.7871.125 permitió a un atacante remoto provocar que un usuario realizara ciertos gestos en la interfaz de usuario y potencialmente explotara la corrupción del montón a través de una página HTML diseñada».
Esta deficiencia se ha solucionado en las versiones 150.0.7871.124/.125 de Chrome para Windows y Mac y 150.0.7871.124 para Linux.
En un desarrollo relacionado, Adobe ha publicado actualizaciones de seguridad para 88 vulnerabilidades, incluidos errores críticos de múltiples gravedades, en ColdFusion, Commerce, Experience Manager e Illustrator. De ellos, ocho afectan a Adobe ColdFusion:
CVE-2026-48318 (puntuación CVSS: 9,9): vulnerabilidad de recorrido de ruta que puede provocar la ejecución de código arbitrario CVE-2026-48322 (puntuación CVSS: 9,6): vulnerabilidad de inyección de código que puede provocar la ejecución de código arbitrario CVE-2026-48284 (puntuación CVSS: 9,6): vulnerabilidad de validación de entrada incorrecta que puede provocar la ejecución de código arbitrario CVE-2026-48321 (puntuación CVSS: 9,3): vulnerabilidad de autenticación incorrecta que puede provocar una escalada de privilegios. CVE-2026-48325 (puntuación CVSS: 9,3): falta de autenticación para funciones críticas que pueden provocar la ejecución de código arbitrario. CVE-2026-48319 (puntuación CVSS: 9,1): vulnerabilidad de cruce de ruta que puede provocar la ejecución de código arbitrario. CVE-2026-48324 (puntuación CVSS: 9,1): vulnerabilidad de inyección SQL que puede provocar la ejecución de código arbitrario CVE-2026-48327 (puntuación CVSS: 9,0): vulnerabilidad de autenticación incorrecta que puede provocar la ejecución de código arbitrario
El defecto de CodeFusion se solucionó en las versiones ColdFusion 2025 Update 11 y ColdFusion 2023 Update 22. Adobe también corrigió dos fallas críticas en Adobe Commerce, Magento Open Source y Adobe Experience Manager.
CVE-2026-48356 (Puntuación CVSS: 9,6): vulnerabilidad de carga de archivos de código abierto de Adobe Commerce y Magento que puede provocar una escalada de privilegios. CVE-2026-48358 (Puntuación CVSS: 9,1): Adobe Commerce y Magento que puede provocar la ejecución de código arbitrario. Vulnerabilidad de escape o codificación incorrecta de salida de código abierto. CVE-2026-48259 (Puntuación CVSS: 9.6) – La vulnerabilidad de falsificación de solicitudes del lado del servidor de Adobe Experience Manager puede permitir la ejecución de código arbitrario CVE-2026-48359 (puntuación CVSS: 9.6) – XML de Adobe Experience Manager La restricción inadecuada de la referencia de entidades externas puede provocar la ejecución de código arbitrario
Broadcom también lanzó una solución para una vulnerabilidad crítica de omisión de autenticación en el equilibrador de carga VMware Avi (CVE-2026-47865, puntuación CVSS: 9,8). Esto podría ser aprovechado por un usuario malintencionado con acceso a la red para obtener acceso al plano de control de Avi. A Filip Waeytens, del Centro de Seguridad Cibernética de la OTAN (NCSC), se le atribuye el descubrimiento y el informe de la falla.
Aunque ninguna de las vulnerabilidades está marcada como explotada activamente, es imperativo que las organizaciones instalen las últimas actualizaciones, ya que se sabe que los actores de amenazas utilizan fallas en estos productos como armas de ataque.
Source link
