Aun número de vulnerabilidades críticas que afectan a productos de **Adobe**, **Fortinet**, **Microsoft** y **SAP** han sido el foco principal en los lanzamientos de Patch Tuesday de abril. ## Vulnerabilidad de Inyección SQL en SAP Encabezando la lista se encuentra una vulnerabilidad de inyección SQL que afecta a **SAP Business Planning and Consolidation** y **SAP Business Warehouse** (**CVE-2026-27681**, CVSS score: 9.9) que podría resultar en la ejecución de comandos arbitrarios de base de datos. "El programa ABAP vulnerable permite a un usuario de bajo privilegio subir un archivo con sentencias SQL arbitrarias que luego serán ejecutadas", indicó **Onapsis** en un aviso. En un escenario de ataque potencial, un actor malicioso podría abusar de la funcionalidad afectada relacionada con la carga de archivos para ejecutar SQL malicioso contra los almacenes de datos de BW/BPC, extraer datos sensibles y eliminar o corromper el contenido de la base de datos. **Pathlock** declaró que figuras de planificación manipuladas, informes rotos o datos de consolidación eliminados pueden socavar los procesos de cierre, la presentación de informes ejecutivos y la planificación operativa. Advirtieron además que el problema crea un camino creíble tanto para el robo de datos sigiloso como para la interrupción comercial abierta. ## Falla de Adobe Acrobat Reader Explotada Activamente Otra vulnerabilidad de seguridad que merece mención es una ejecución remota de código de severidad crítica en **Adobe Acrobat Reader** (**CVE-2026-34621**, CVSS score: 8.6) que ha estado bajo explotación activa en la naturaleza. Actualmente, los detalles sobre la explotación son escasos, incluido el alcance de los usuarios afectados, la identidad de los actores de amenazas, sus objetivos y sus motivos. ## Vulnerabilidades en Adobe ColdFusion También parcheadas por **Adobe** hay cinco fallas críticas en **ColdFusion** versiones 2025 y 2023 que, si se explotan con éxito, podrían llevar a la ejecución de código arbitrario, denegación de servicio de la aplicación, lectura arbitraria del sistema de archivos y omisión de funciones de seguridad. Las vulnerabilidades se enumeran a continuación: * **CVE-2026-34619** (CVSS score: 7.7) - Una vulnerabilidad de recorrido de ruta que conduce a la omisión de funciones de seguridad * **CVE-2026-27304** (CVSS score: 9.3) - Una vulnerabilidad de validación de entrada inadecuada que conduce a la ejecución de código arbitrario * **CVE-2026-27305** (CVSS score: 8.6) - Una vulnerabilidad de recorrido de ruta que conduce a la lectura arbitraria del sistema de archivos * **CVE-2026-27282** (CVSS score: 7.5) - Una vulnerabilidad de validación de entrada inadecuada que conduce a la omisión de funciones de seguridad * **CVE-2026-27306** (CVSS score: 8.4) - Una vulnerabilidad de validación de entrada inadecuada que conduce a la ejecución de código arbitrario ## Vulnerabilidades en Fortinet FortiSandbox También se han lanzado correcciones para dos vulnerabilidades críticas en **FortiSandbox** que podrían resultar en omisión de autenticación y ejecución de código: * **CVE-2026-39813** (CVSS score: 9.1) - Una vulnerabilidad de recorrido de ruta en la API JRPC de **FortiSandbox** que podría permitir a un atacante no autenticado omitir la autenticación a través de solicitudes HTTP especialmente diseñadas. (Corregido en las versiones 4.4.9 y 5.0.6) * **CVE-2026-39808** (CVSS score: 9.1) - Una vulnerabilidad de inyección de comandos del sistema operativo en **FortiSandbox** que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes HTTP diseñadas. (Corregido en la versión 4.4.9) ## Extensa Liberación de Parches de Microsoft **Microsoft** abordó un asombroso total de 169 defectos de seguridad, incluida una vulnerabilidad de suplantación que afecta a **Microsoft SharePoint Server** (**CVE-2026-32201**, CVSS score: 6.5) que podría permitir a un atacante ver información sensible. La compañía dijo que está siendo explotada activamente, aunque no hay información sobre la explotación en la naturaleza asociada con el error. Kev Breen, director senior de investigación de amenazas en **Immersive**, señaló que los servicios de **SharePoint**, especialmente aquellos utilizados como almacenes de documentos internos, pueden ser un tesoro para los actores de amenazas que buscan robar datos, especialmente datos que pueden ser aprovechados para forzar pagos de rescate utilizando técnicas de doble extorsión. Agregó que los actores de amenazas con acceso a los servicios de **SharePoint** podrían implementar documentos armados o reemplazar documentos legítimos por versiones infectadas para propagarse lateralmente por la organización. ## Parches de Software de Otros Proveedores Además de **Microsoft**, se han lanzado actualizaciones de seguridad de otros proveedores en las últimas semanas para rectificar varias vulnerabilidades, incluyendo — * [ABB](https://www.abb.com/global/en/company/about/cybersecurity/alerts-and-notifications) * [Amazon Web Services](https://aws.amazon.com/security/security-bulletins/) * [AMD](https://www.amd.com/en/resources/product-security.html#security) * [Apple](https://support.apple.com/en-us/HT201222) * [ASUS](https://www.asus.com/security-advisory/) * [AVEVA](https://www.aveva.com/en/support-and-success/cyber-security-updates/) * [Broadcom](https://support.broadcom.com/web/ecx/security-advisory) (incluyendo VMware) * [Canon](https://psirt.canon/advisory-information/#id_2229656) * [Cisco](https://tools.cisco.com/security/center/publicationListing.x) * [Citrix](https://support.citrix.com/support-home/topic-article-list?trendingCategory=20&trendingTopicName=Latest%20Security%20Bulletin) * [CODESYS](https://www.codesys.com/ecosystem/security/latest-codesys-security-advisories/) * [D-Link](https://supportannouncement.us.dlink.com/) * [Dassault Systèmes](https://www.3ds.com/trust-center/security/security-advisories) * [Dell](https://www.dell.com/support/security/) * [Devolutions](https://devolutions.net/security/advisories/) * [dormakaba](https://www.dormakabagroup.com/en/security-advisories) * [Drupal](https://www.drupal.org/security) * [Elastic](https://discuss.elastic.co/c/announcements/security-announcements/31) * [F5](https://my.f5.com/manage/s/new-updated-articles#f-f5_document_type=Security%20Advisory&aq=%40f5_original_published_date%20%3E%3D%20now-7d) * [Fortinet](https://www.fortiguard.com/psirt) * [Foxit Software](https://www.foxit.com/support/security-bulletins.html) * [FUJIFILM](https://www.fujifilm.com/fbglobal/eng/company/news/notice) * [Gigabyte](https://www.gigabyte.com/us/Support/Security) * [GitLab](https://docs.gitlab.com/releases/18/patch-release-gitlab-18-10-3-released/) * Google [Android](https://source.android.com/docs/security/bulletin/2026/2026-04-01) y [Pixel](https://source.android.com/docs/security/bulletin/pixel/2026/2026-04-01) * [Google Chrome](https://chromereleases.googleblog.com/) * [Google Cloud](https://cloud.google.com/support/bulletins) * [Grafana](https://grafana.com/security/security-advisories/) * [Hitachi Energy](https://www.hitachienergy.com/in/en/products-and-solutions/cybersecurity/alerts-and-notifications) * [HP](https://support.hp.com/us-en/security-bulletins) * [HP Enterprise](https://support.hpe.com/connect/s/securitybulletinlibrary?language=en_US#sort=%40hpescuniversaldate%20descending&layout=table&numberOfResults=25&f:@kmdoclanguagecode=[cv1871440]&hpe=1) (incluyendo Aruba Networking y [Juniper Networks](https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=date%20descending&f:ctype=[Security%20Advisories])) * [Huawei](https://www.huawei.com/en/psirt/all-bulletins) * [IBM](https://www.ibm.com/support/pages/bulletin/) * [Ivanti](https://hub.ivanti.com/s/searchallcontent?language=en_US#q=CVE&sortCriteria=date%20descending&f-sfkbknowledgearticletypec=Security%20Advisory&f-commonlanguage=English) * [Jenkins](https://www.jenkins.io/security/advisories/) * [Lenovo](https://support.lenovo.com/us/en/product_security/ps500001-lenovo-product-security-advisories) * Distribuciones Linux