Alertas de Seguridad de la Información

R Crítico vulnerabilidad

08/05/2026

CVE-2026-25243: Acceso inválido a memoria en redis-server permite ejecución remota de código

Microsoft advierte sobre una vulnerabilidad crítica de ejecución remota de código (RCE) en redis-server que permite a atacantes remotos ejecutar código arbitrario explotando un acceso inválido a memoria en la función RESTORE. Esta vulnerabilidad afecta directamente a infraestructuras críticas en México y LATAM que utilizan Redis para cachés, sesiones y procesamiento de datos en tiempo real.

rce Microsoft MSRC

B Alto vulnerabilidad ⚠ KEV

08/05/2026

[CVE-2026-42208] Vulnerabilidad crítica en BerriAI LiteLLM bajo explotación activa

CISA confirma explotación activa de una vulnerabilidad en BerriAI LiteLLM que afecta sistemas de IA y procesamiento de lenguaje natural. Aunque no se ha detectado su uso en campañas de ransomware conocidas, representa un riesgo significativo para empresas mexicanas y latinoamericanas que utilizan esta librería en producción. La fecha límite para aplicar parches es el 11 de mayo de 2026.

berriaiexplotación activavulnerabilidad CISA KEV

G Crítico vulnerabilidad

07/05/2026

Vulnerabilidad crítica en Android Display (CVE-2026-30496) - CVSS 9.8

Se ha identificado una vulnerabilidad de severidad crítica en el componente Display de Android (CVSS 9.8) que afecta más del 80% de dispositivos móviles en circulación en México y Latinoamérica. Esta falla permite ejecución de código remoto sin autenticación, comprometiendo la confidencialidad, integridad y disponibilidad de datos en dispositivos personales y corporativos. La actualización de seguridad ya está disponible en los canales oficiales de distribución.

google-androidseguridad-movildisplay CVSS 9.8 NVD

G Alto vulnerabilidad

07/05/2026

Vulnerabilidad alta en Android Wi-Fi (CVE-2026-30495) - CVSS 8.8

Vulnerabilidad de seguridad en el módulo Wi-Fi de Android con puntuación CVSS 8.8 afecta más del 80% de dispositivos móviles en México y Latinoamérica. El componente vulnerable permite acceso no autorizado a través de conexiones inalámbricas. Requiere actualización inmediata en todos los dispositivos corporativos y personales con acceso a datos sensibles.

google-androidseguridad-movilwi-fi CVSS 8.8 NVD

G Medio vulnerabilidad

07/05/2026

Vulnerabilidad Use-After-Free en Chromium (CVE-2026-7921) afecta gestión de contraseñas

Se ha identificado una vulnerabilidad de use-after-free en el módulo de gestión de contraseñas de Chromium que podría permitir a atacantes ejecutar código arbitrario en navegadores afectados. Esta falla impacta directamente a usuarios corporativos en LATAM que utilizan Chrome, Edge y navegadores basados en Chromium para acceso a sistemas críticos, especialmente en entornos financiero, gubernamental y de salud.

Microsoft MSRC

G Medio vulnerabilidad

07/05/2026

Vulnerabilidad de Confusión de Tipos en Chromium (CVE-2026-7914) afecta funciones de accesibilidad

Se ha identificado una vulnerabilidad de confusión de tipos en el componente de accesibilidad de Chromium que podría permitir a atacantes ejecutar código arbitrario en sistemas afectados. Esta vulnerabilidad impacta navegadores basados en Chromium utilizados en entornos corporativos de México y Latinoamérica. La explotación requiere interacción del usuario pero podría comprometer la confidencialidad, integridad y disponibilidad de sistemas.

Microsoft MSRC

G Medio vulnerabilidad

07/05/2026

Vulnerabilidad de acceso fuera de límites en V8 de Chromium (CVE-2026-7902)

Se ha identificado una vulnerabilidad de acceso a memoria fuera de límites en el motor V8 de Chromium que podría permitir a atacantes ejecutar código arbitrario en sistemas afectados. Esta falla impacta navegadores basados en Chromium y aplicaciones que integren este motor, afectando potencialmente millones de dispositivos en México y Latinoamérica. La vulnerabilidad requiere parcheo inmediato en entornos corporativos y de usuarios finales.

Microsoft MSRC

? Alto vulnerabilidad

07/05/2026

CVE-2026-33821: Elevación de privilegios en Microsoft Dynamics 365 Customer Insights

Vulnerabilidad de elevación de privilegios en Microsoft Dynamics 365 Customer Insights permite a usuarios autenticados obtener permisos elevados sin autorización. Afecta directamente a empresas en LATAM que utilizan esta plataforma para gestión de datos de clientes y análisis. El riesgo es crítico en entornos con acceso multi-usuario o integraciones con sistemas ERP sensibles.

eop Microsoft MSRC

? Alto vulnerabilidad

07/05/2026

Vulnerabilidad de Elevación de Privilegios en Azure Monitor Action Group (CVE-2026-41105)

Microsoft reporta una vulnerabilidad de elevación de privilegios en el sistema de notificaciones de Azure Monitor Action Group que podría permitir a atacantes escalar permisos en entornos cloud. Esta vulnerabilidad afecta principalmente a empresas en México y Latinoamérica que dependen de Azure para monitoreo de infraestructura crítica y operaciones en la nube.

azureeop Microsoft MSRC

? Medio vulnerabilidad

07/05/2026

Vulnerabilidad de divulgación de información en Copilot Chat de Microsoft Edge (CVE-2026-33111)

Se ha identificado una vulnerabilidad de divulgación de información en Copilot Chat integrado en Microsoft Edge que podría exponer datos sensibles a través de interacciones con la asistencia de IA. Esta vulnerabilidad afecta a usuarios empresariales en México y Latinoamérica que utilizan Edge como navegador corporativo, especialmente en organizaciones que procesan información confidencial.

edgeinfo-disclosure Microsoft MSRC

A Crítico vulnerabilidad

07/05/2026

Vulnerabilidad crítica de ejecución remota de código en Azure Managed Instance for Apache Cassandra (CVE-2026-33109)

Microsoft ha identificado una vulnerabilidad de ejecución remota de código (RCE) en Azure Managed Instance for Apache Cassandra que permite a atacantes no autenticados ejecutar código arbitrario en instancias afectadas. Esta vulnerabilidad impacta directamente a empresas en México y Latinoamérica que utilicen este servicio para bases de datos distribuidas en producción, representando un riesgo crítico de compromiso total de la infraestructura. La ausencia de autenticación previa amplifica significativamente el riesgo de explotación masiva.

azurerce Microsoft MSRC

? Alto vulnerabilidad

07/05/2026

Vulnerabilidad de suplantación en Azure Machine Learning Notebook (CVE-2026-32207)

Microsoft ha identificado una vulnerabilidad de suplantación (spoofing) en Azure Machine Learning Notebook que permite a atacantes engañar a usuarios sobre la identidad de notebooks o contenido. Esta vulnerabilidad afecta directamente a empresas en México y LATAM que utilizan Azure ML para análisis de datos, ciencia de datos y automatización, poniendo en riesgo la integridad de proyectos y la confianza en notebooks compartidos internamente.

azurespoofing Microsoft MSRC

A Crítico vulnerabilidad

07/05/2026

Vulnerabilidad crítica de ejecución remota de código en Azure Managed Instance for Apache Cassandra (CVE-2026-33844)

Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en Azure Managed Instance for Apache Cassandra que permite a atacantes no autenticados ejecutar código arbitrario en instancias afectadas. Esta falla impacta directamente a empresas mexicanas y latinoamericanas que utilizan Cassandra gestionado en Azure para bases de datos de producción críticas. La explotación no requiere credenciales, lo que eleva significativamente el riesgo de compromiso total de la infraestructura de datos.

azurerce Microsoft MSRC

? Alto vulnerabilidad

07/05/2026

Vulnerabilidad de Elevación de Privilegios en Azure AI Foundry (CVE-2026-35435)

Microsoft reporta una vulnerabilidad de elevación de privilegios en Azure AI Foundry que permite a atacantes obtener permisos elevados en el servicio. Esta falla afecta directamente a empresas en LATAM que utilizan plataformas de IA generativa en Azure para procesos de datos sensibles, incluyendo soluciones financieras, sanitarias y de cumplimiento regulatorio. La explotación no requiere autenticación adicional una vez dentro del entorno.

azureeop Microsoft MSRC

? Alto vulnerabilidad

07/05/2026

CVE-2026-35428: Vulnerabilidad de suplantación en Azure Cloud Shell

Microsoft reporta una vulnerabilidad de suplantación (spoofing) en Azure Cloud Shell que podría permitir a atacantes engañar a usuarios legítimos sobre la identidad de comandos o sesiones ejecutadas. Esta falla afecta directamente a empresas en LATAM que utilizan Azure para infraestructura en la nube y operaciones DevOps, comprometiendo la confiabilidad del entorno de shell interactivo.

azurespoofing Microsoft MSRC

? Medio vulnerabilidad

07/05/2026

Vulnerabilidad de Divulgación de Información en Azure DevOps (CVE-2026-42826)

Microsoft ha identificado una vulnerabilidad de divulgación de información en Azure DevOps que podría permitir a atacantes acceder a datos sensibles sin autorización adecuada. Esta vulnerabilidad afecta principalmente a empresas en México y Latinoamérica que utilizan Azure DevOps para gestión de código, pipelines de CI/CD y colaboración de desarrollo. El impacto incluye exposición potencial de credenciales, tokens de acceso y código fuente propietario.

azureinfo-disclosure Microsoft MSRC

? Medio alerta

07/05/2026

CVE-2026-6973: Vulnerabilidad de explotación conocida agregada al catálogo de CISA

CISA ha incluido el CVE-2026-6973 en su catálogo de vulnerabilidades con explotación activa conocida, indicando riesgo inmediato para entornos corporativos. Las organizaciones en México y Latinoamérica que utilicen sistemas afectados deben considerarlo prioritario. Este tipo de inclusión en el catálogo de CISA señala que existe código de explotación público o evidencia de ataques activos.

cisaus-certalerta CISA KEV

C Medio vulnerabilidad

07/05/2026

Vulnerabilidad de acceso no autorizado a subrecu rsos en KubeVirt por evaluación deficiente de RBAC

KubeVirt contiene una vulnerabilidad de control de acceso basado en roles (RBAC) que permite a usuarios autenticados acceder a subrecursos sin autorización explícita. El defecto afecta plataformas de virtualización containerizada en entornos Kubernetes en LATAM. Empresas con infraestructuras híbridas o multicloud que ejecuten KubeVirt podrían exponer workloads críticos a escalada de privilegios.

Microsoft MSRC

C Medio vulnerabilidad

07/05/2026

CVE-2026-42151: Secreto OAuth de Azure AD expuesto en API de configuración de Prometheus

Vulnerabilidad en Prometheus que permite la exposición del secreto de cliente OAuth utilizado para autenticación con Azure AD a través de la API de configuración. Esto puede comprometer la seguridad de integraciones con servicios en la nube y permitir acceso no autorizado a recursos protegidos. Afecta a empresas en LATAM que utilizan Prometheus con autenticación Azure AD para monitoreo en entornos híbridos o en la nube.

azure Microsoft MSRC

C Crítico vulnerabilidad

07/05/2026

Vulnerabilidad crítica en CoreDNS: omisión de autenticación TSIG en gRPC, QUIC, DoH y DoH3

CoreDNS presenta una falla de autenticación TSIG que afecta múltiples protocolos de transporte (gRPC, QUIC, DoH, DoH3), permitiendo a atacantes sin credenciales válidas ejecutar consultas DNS y potencialmente modificar registros en infraestructuras de red. Esta vulnerabilidad impacta servicios DNS en contenedores, Kubernetes y arquitecturas cloud ampliamente desplegadas en LATAM.

Microsoft MSRC