La vulnerabilidad CVE-2026-40175, con puntuación CVSS 10.0, afecta a la biblioteca Axios y permite a atacantes escalar un ataque de contaminación de prototipo para lograr la ejecución remota de código o el compromiso total de infraestructuras cloud.
El fallo CVE-2026-39980, catalogado como crítico con una puntuación CVSS de 9.1, compromete la seguridad de plataformas OpenCTI al permitir la ejecución remota de código JavaScript. Analizamos el vector de ataque y las medidas de remediación urgentes.
La plataforma de flujos de trabajo con IA Flowise contiene una vulnerabilidad crítica, rastreada como CVE-2025-59528, que está siendo explotada activamente para ejecutar código de forma remota. Analizamos su funcionamiento y las medidas de mitigación.
El CVE-2026-34950 es una vulnerabilidad crítica en la biblioteca fast-jwt que permite ataques de confusión de algoritmos JWT. Analizamos su impacto y ofrecemos una guía detallada para parchear y mitigar el riesgo.
Un sofisticado ataque de ingeniería social vinculado a actores norcoreanos comprometió la cuenta de un mantenedor de Axios, publicando versiones maliciosas en npm. Analizamos la cadena de ataque completa.
Investigadores han identificado 36 paquetes maliciosos en el registro npm, camuflados como plugins de Strapi CMS, diseñados para explotar Redis y PostgreSQL, desplegar shells inversos y establecer implantes persistentes.