### Fallo en Ivanti Xtraction **Ivanti** ha corregido un fallo crítico en **Ivanti Xtraction** (**CVE-2026-8043**, puntuación CVSS: 9.6). Esta vulnerabilidad podría ser explotada para lograr la divulgación de información o ataques del lado del cliente. Según **Ivanti**, "El control externo de un nombre de archivo en Ivanti Xtraction antes de la versión 2026.2 permite a un atacante remoto autenticado leer archivos sensibles y escribir archivos HTML arbitrarios en un directorio web, lo que lleva a la divulgación de información y posibles ataques del lado del cliente." ### Vulnerabilidades en Fortinet **Fortinet** ha publicado avisos sobre dos vulnerabilidades críticas que afectan a **FortiAuthenticator** y **FortiSandbox**, **FortiSandbox Cloud** y **FortiSandbox PaaS**, que podrían resultar en la ejecución de código: * **CVE-2026-44277** (puntuación CVSS: 9.1): Una vulnerabilidad de control de acceso inadecuado en **FortiAuthenticator** que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes manipuladas. Esto se ha corregido en las versiones 6.5.7, 6.6.9 y 8.0.3 de FortiAuthenticator. * **CVE-2026-26083** (puntuación CVSS: 9.1): Una vulnerabilidad de autorización faltante en la interfaz web de **FortiSandbox**, **FortiSandbox Cloud** y **FortiSandbox PaaS** que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes HTTP. Esto se ha corregido en las versiones 4.4.9 y 5.0.2 de FortiSandbox, la versión 5.0.6 de FortiSandbox Cloud y las versiones 4.4.9 y 5.0.2 de FortiSandbox PaaS. ### Parches de Seguridad de SAP **SAP** ha distribuido correcciones para dos vulnerabilidades críticas: * **CVE-2026-34260** (puntuación CVSS: 9.6): Una vulnerabilidad de inyección SQL en **SAP S/4HANA**. * **CVE-2026-34263** (puntuación CVSS: 9.6): Una verificación de autenticación faltante en la configuración de **SAP Commerce Cloud**. **Onapsis** declaró que **CVE-2026-34263** es causada por "una configuración de seguridad demasiado permisiva con un orden de reglas inadecuado, lo que permite a un usuario no autenticado realizar cargas de configuración maliciosas e inyección de código, lo que resulta en la ejecución de código arbitrario del lado del servidor." Con respecto a **CVE-2026-34260**, un atacante podría inyectar sentencias SQL maliciosas, afectando potencialmente la confidencialidad y disponibilidad de la aplicación. **Pathlock** señaló: "Permite a un atacante autenticado de bajo privilegio inyectar código SQL malicioso a través de entradas controladas por el usuario, exponiendo potencialmente información sensible de la base de datos y bloqueando la aplicación." ### Escalada de Privilegios en VMware Fusion **Broadcom** ha lanzado parches para un fallo de alta gravedad en **VMware Fusion** (**CVE-2026-41702**, puntuación CVSS: 7.8) que podría llevar a una escalada de privilegios local. El problema se ha abordado en la versión 26H1. Según **Broadcom**, "VMware Fusion contiene una vulnerabilidad TOCTOU (Time-of-check Time-of-use) que ocurre durante una operación realizada por un binario SETUID. Un actor malicioso con privilegios de usuario local no administrativo podría explotar esta vulnerabilidad para escalar privilegios a root en el sistema donde está instalado Fusion." ### Múltiples Vulnerabilidades en n8n Se han corregido un conjunto de cinco vulnerabilidades críticas que afectan a **n8n**: * **CVE-2026-42231** (puntuación CVSS: 9.4): Una vulnerabilidad en la biblioteca xml2js utilizada para analizar cuerpos de solicitud XML en el manejador de webhooks de n8n que permite la contaminación de prototipos a través de un payload XML manipulado, permitiendo a un usuario autenticado con permiso para crear o modificar flujos de trabajo lograr la ejecución remota de código en el host de n8n. (Corregido en las versiones 1.123.32, 2.17.4 y 2.18.1 de n8n) * **CVE-2026-42232** (puntuación CVSS: 9.4): Un usuario autenticado con permiso para crear o modificar flujos de trabajo podría lograr una contaminación global de prototipos a través del Nodo XML, lo que llevaría a la ejecución remota de código cuando se combina con otros nodos que explotan la contaminación de prototipos. (Corregido en las versiones 1.123.32, 2.17.4 y 2.18.1 de n8n) * **CVE-2026-44791** (puntuación CVSS: 9.4): Una omisión de CVE-2026-42232 que podría resultar en la ejecución remota de código en el host de n8n. (Corregido en las versiones 1.123.43, 2.20.7 y 2.22.1 de n8n) * **CVE-2026-44789** (puntuación CVSS: 9.4): Un usuario autenticado con permiso para crear o modificar flujos de trabajo podría lograr una contaminación global de prototipos a través de un parámetro de paginación no validado en el nodo HTTP Request, lo que llevaría a la ejecución remota de código en el host de n8n. (Corregido en las versiones 1.123.43, 2.20.7 y 2.22.1 de n8n) * **CVE-2026-44790** (puntuación CVSS: 9.4): Un usuario autenticado con permiso para crear o modificar flujos de trabajo podría inyectar flags de CLI en la operación Push del nodo Git, permitiendo a un atacante leer archivos arbitrarios del servidor n8n y resultando en una compromiso total. (Corregido en las versiones 1.123.43, 2.20.7 y 2.22.1 de n8n) ### Parches de Software de Otros Proveedores Las actualizaciones de seguridad también han sido publicadas por otros proveedores en las últimas semanas, incluyendo: * [ABB](https://www.abb.com/global/en/company/about/cybersecurity/alerts-and-notifications) * [Adobe](https://helpx.adobe.com/security/security-bulletin.html) * [Amazon Web Services](https://aws.amazon.com/security/security-bulletins/) * [AMD](https://www.amd.com/en/resources/product-security.html#security) * [Apple](https://support.apple.com/en-us/HT201222) * [ASUS](https://www.asus.com/security-advisory/) * [Atlassian](https://confluence.atlassian.com/security/security-bulletin-april-21-2026-1770913890.html) * [Axis Communications](https://help.axis.com/en-us/security-advisories) * [AVEVA](https://www.aveva.com/en/support-and-success/cyber-security-updates/) * [Canon](https://psirt.canon/advisory-information/#id_2229656) * [Cisco](https://tools.cisco.com/security/center/publicationListing.x) * [CODESYS](https://www.codesys.com/ecosystem/security/latest-codesys-security-advisories/) * [ConnectWise](https://www.connectwise.com/company/trust/security-bulletins) * [Dell](https://www.dell.com/support/security/) * [Devolutions](https://devolutions.net/security/advisories/) * [Drupal](https://www.drupal.org/security) * [F5](https://my.f5.com/manage/s/new-updated-articles#f-f5_document_type=Security%20Advisory&aq=%40f5_original_published_date%20%3E%3D%20now-7d) * [Fortra](https://www.fortra.com/security/advisories/product-security) * [Foxit Software](https://www.foxit.com/support/security-bulletins.html) * [Fujitsu](https://security.ts.fujitsu.com/IndexProdSecurity.asp) * [GitLab](https://docs.gitlab.com/releases/patches/) * [GnuTLS](https://www.gnutls.org/security-new.html) * Google [Android](https://source.android.com/docs/security/bulletin/2026/2026-05-01) y [Pixel](https://source.android.com/docs/security/bulletin/pixel/2026/2026-05-01) * [Google Chrome](https://chromereleases.googleblog.com/) * [Google Cloud](https://cloud.google.com/support/bulletins) * [Grafana](https://grafana.com/security/security-advisories/) * [Hikvision](https://www.hikvision.com/en/support/cybersecurity/security-advisory/) * [Hitachi Energy](https://www.hitachienergy.com/in/en/products-and-solutions/cybersecurity/alerts-and-notifications) * [Honeywell](https://www.honeywell.com/us/en/product-security#security-notices) * [HP](https://support.hp.com/us-en/security-bulletins) * [HPE](https://support.hpe.com/connect/s/security)