VENCERT // SISTEMA NACIONAL DE GESTIÓN DE INCIDENTES TELEMÁTICOS
incidentes.vencert@suscerte.gob.ve
ALERTAS Y VULNERABILIDADES

Alertas y Vulnerabilidades

Últimas vulnerabilidades y amenazas identificadas por VENCERT

Inicio / VENCERT / Alertas y Vulnerabilidades
Filtrar: Todas Crítica Alta Media Baja
🟠 Alta VENCERT-2026-020 CVE-2026-42897 En seguimiento
June 1, 2026

CVE-2026-42897

Vulnerabilidad Cross-Site Scripting (XSS) y potencial ejecución remota que se activa sin requerir gran interacción por parte de la víctima.

Sistemas afectados: Microsoft Exchange Server: Versiones 2019 (Actualizaciones Acumulativas anteriores a la de mayo) y 2016. Componente específico: Outlook Web Access (OWA).

🟠 Alta VENCERT-2026-019 CVE-2026-9470 Activa
June 1, 2026

Inyección SQL en StudentManagementSystem - función confirm_logged_in (student_trans.php)

Entrada no validada permite inyección SQL remota; posible lectura, alteración o borrado de datos en la base de la aplicación.

Sistemas afectados: yashpokharna2555 / StudentManagementSystem (commit cb2f558ddf8d19396de0f92abf2d224d46a0a203). Archivo student_trans.php, función confirm_logged_in; parámetros FIRST_NAME, Last_Name, EMAIL.

🟡 Media VENCERT-2026-023 CVE-2026-9451 Activa
June 1, 2026

Inyección SQL en el Sistema de Gestión de Empleados de code-projects

Descripción Vulnerabilidad de severidad media (CVSS 3.1: 6.3) que permite la inyección de comandos SQL debido a una sanitización deficiente de las entradas del usuario en el script de procesamiento de solicitudes de permisos (/process/applyleaveprocess.php).

Sistemas afectados: Entornos web que ejecuten la aplicación freeware "Employee Management System 1.0" de code-projects.

🟠 Alta VENCERT-2026-021 CVE-2026-42945 Resuelta
June 1, 2026

CVE-2026-42945

Vulnerabilidad de desbordamiento de búfer Heap Buffer Overflow en el procesamiento de la directiva rewrite del servidor.

Sistemas afectados: NGINX Open Source y NGINX Plus: Versiones 1.25.0 hasta la 1.25.4.

🟠 Alta VENCERT-2026-013 CVE-2026-9082 Activa
May 26, 2026

Inyección SQL Crítica en la API de Abstracción de Datos de Drupal Core

Existe una falla de sanitización de entrada inadecuada en la capa de abstracción de bases de datos del sistema (clasificada como CWE-89)

Sistemas afectados: Sitios web corporativos y gubernamentales que utilizan el gestor de contenidos Drupal Core con exposición directa a Internet.

🔴 Crítica VENCERT-2026-012 CVE-2026-20131 Activa
May 26, 2026

Vulnerabilidad de Ejecución Remota de Código (RCE) en Cisco FMC

Una vulnerabilidad crítica que permite a actores de amenazas no autenticados ejecutar código Java arbitrario con privilegios de root (superusuario) en los dispositivos afectados a través de peticiones HTTP modificadas.

Sistemas afectados: Software de gestión centralizada de firewalls Cisco Secure Firewall Management Center (FMC).

🟠 Alta VENCERT-2026-017 CVE-2026-2006 Activa
May 26, 2026

Ejecución de código arbitrario por validación incorrecta de longitud de caracteres multibyte en PostgreSQL

Un usuario de base de datos puede lanzar consultas maliciosas que provocan desbordamiento de búfer y, con ello, ejecutar código arbitrario con el mismo usuario del sistema operativo que ejecuta el proceso PostgreSQL (habitualmente postgres).

Sistemas afectados: PostgreSQL antes de: 18.2, 17.8, 16.12, 15.16, 14.21