Una serie de vulnerabilidades críticas que afectan a los productos de Adobe, Fortinet, Microsoft y SAP han ocupado un puesto central en los lanzamientos del martes de parches de abril.
Encabezando la cinta se encuentra una vulnerabilidad de inyección SQL que afecta a SAP Business Planning and Consolidation y SAP Business Warehouse (CVE-2026-27681, puntuación CVSS: 9,9) y que podría dar puesto a la ejecución de comandos arbitrarios de bases de datos.
“El indefenso software ABAP permite a un usufructuario con pocos privilegios cargar un archivo con sentencias SQL arbitrarias que luego serán ejecutadas”, dijo Onapsis en un aviso.
En un posible escena de ataque, un mal actor podría explotar de la funcionalidad relacionada con la carga afectada para ejecutar SQL desconfiado contra almacenes de datos BW/BPC, extraer datos confidenciales y eliminar o corromper el contenido de la saco de datos.
“Las cifras de planificación manipuladas, los informes rotos o los datos de consolidación eliminados pueden socavar los procesos cerrados, los informes ejecutivos y la planificación operativa”, afirmó Pathlock. “En las manos equivocadas, este problema todavía crea un camino posible cerca de el robo sigiloso de datos y la interrupción abierta del negocio”.
Otra vulnerabilidad de seguridad que merece una mención es la ejecución remota de código de alcance crítica en Adobe Acrobat Reader (CVE-2026-34621, puntuación CVSS: 8,6) que ha sido objeto de explotación activa en la naturaleza.
Dicho esto, hay muchas incógnitas en este momento. No está claro cuántas personas se han conocido afectadas por la campaña de piratería. Siquiera hay información sobre quién está detrás de la actividad, quién está siendo atacado y cuáles podrían ser sus motivos.
Adobe todavía parchó cinco fallas críticas en las versiones 2025 y 2023 de ColdFusion que, si se explotan con éxito, podrían provocar la ejecución de código infundado, denegación de servicio de la aplicación, recital arbitraria del sistema de archivos y omisión de funciones de seguridad.
Las vulnerabilidades se enumeran a continuación:
- CVE-2026-34619 (Puntuación CVSS: 7,7): una vulnerabilidad de trayecto de ruta que conduce a la omisión de una característica de seguridad
- CVE-2026-27304 (Puntuación CVSS: 9,3): una vulnerabilidad de moral de entrada incorrecta que conduce a la ejecución de código infundado
- CVE-2026-27305 (Puntuación CVSS: 8,6): una vulnerabilidad de trayecto de ruta que conduce a una recital arbitraria del sistema de archivos
- CVE-2026-27282 (Puntuación CVSS: 7,5) – Una vulnerabilidad de moral de entrada incorrecta que conduce a la omisión de la función de seguridad
- CVE-2026-27306 (Puntuación CVSS: 8,4): una vulnerabilidad de moral de entrada incorrecta que conduce a la ejecución de código infundado
Asimismo se han publicado correcciones para dos vulnerabilidades críticas de FortiSandbox que podrían provocar la omisión de autenticación y la ejecución de código:
- CVE-2026-39813 (Puntuación CVSS: 9.1): una vulnerabilidad de trayecto de ruta en la API JRPC de FortiSandbox que podría permitir que un atacante no autenticado omita la autenticación a través de solicitudes HTTP especialmente diseñadas. (Corregido en las versiones 4.4.9 y 5.0.6)
- CVE-2026-39808 (Puntuación CVSS: 9.1): una vulnerabilidad de inyección de comandos del sistema eficaz en FortiSandbox que podría permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes HTTP diseñadas. (Corregido en la interpretación 4.4.9)
El mejora se produce cuando Microsoft abordó la asombrosa cantidad de 169 defectos de seguridad, incluida una vulnerabilidad de suplantación de identidad que afecta a Microsoft SharePoint Server (CVE-2026-32201, puntuación CVSS: 6,5) que podría permitir a un atacante ver información confidencial. La compañía dijo que está siendo explotado activamente, aunque no hay información sobre la explotación salvaje asociada con el error.
“Los servicios de SharePoint, especialmente aquellos utilizados como almacenes de documentos internos, pueden ser un reservas para los actores de amenazas que buscan robar datos, especialmente datos que pueden aprovecharse para forzar pagos de rescate utilizando técnicas de doble perturbación, amenazando con revelar los datos robados si no se realiza el suscripción”, dijo Kev Breen, director senior de investigación de amenazas de Immersive.
“Una preocupación secundaria es que los actores de amenazas con acercamiento a los servicios de SharePoint podrían desplegar documentos armados o reemplazar documentos legítimos con versiones infectadas que les permitirían propagarse a otros hosts o víctimas que se mueven lateralmente por toda la estructura”.
Parches de software de otros proveedores
Encima de Microsoft, otros proveedores todavía han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:
- TEJIDO
- Servicios web de Amazon
- AMD
- Manzana
- ASUS
- TUVE
- Broadcom (incluido VMware)
- Canon
- cisco
- citrix
- CODESYS
- Enlace D
- Sistemas Dassault
- Dell
- Devoluciones
- dormakaba
- drupal
- Elástico
- F5
- Fortinet
- Software Foxit
- FUJIFILM
- gigabyte
- GitLab
- Google Android y Píxel
- Google Chrome
- Cirro de Google
- Grafana
- Energía Hitachi
- caballos de fuerza
- HP Enterprise (incluidos Aruba Networking y Juniper Networks)
- Huawei
- IBM
- Ivanti
- Jenkins
- lenovo
- Distribuciones de Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE y Ubuntu
- MediaTek
- Mitel
- Mitsubishi Electrico
- MongoDB
- moxa
- Mozilla Firefox, Firefox ESR y Thunderbird
- NETGEAR
- Nodo.js
- Nvidia
- propia abundancia
- Redes de Palo Suspensión
- Contacto Fénix
- Software de progreso
- QNAP
- Qualcomm
- Automatización Rockwell
- Alboroto inalámbrico
- Samsung
- Electricidad Schneider
- siemens
- SonicWall
- Splunk
- Ámbito de primavera
- supermicro
- Sinología
- TP-Link
- Vigilancia y
- Xiaomi
