Adobe ha publicado un boletín de seguridad crítico el 14 de abril de 2026 para solucionar múltiples vulnerabilidades en Adobe Acrobat y Reader para Windows y macOS. Según el aviso oficial, la explotación exitosa de estos fallos podría permitir a los atacantes ejecutar código arbitrario o leer archivos arbitrarios en un sistema objetivo. 

Microsoft ha corregido 169 vulnerabilidades en su última actualización, incluyendo un zero-day explotado activamente en SharePoint (CVE-2026-32201) y fallos críticos en Windows Defender y servicios de red, instando a las organizaciones a aplicar los parches para evitar riesgos.

Microsoft lanzó su Patch Tuesday de abril 2026 corrigiendo 169 vulnerabilidades, incluyendo 2 Zero-Days (una explotada activamente en SharePoint y otra divulgada públicamente en Microsoft Defender) y 8 críticas, destacando fallos en IKEv2 (CVE-2026-33824, CVSS 9.8) que permiten ejecución remota de código sin autenticación. Otras empresas como Adobe, Apple, Cisco y Fortinet también publicaron parches críticos, incluyendo un Zero-Day en Adobe Reader y una vulnerabilidad explotada en FortiClient EMS.

Microsoft lanza un Patch Tuesday masivo en abril con correcciones críticas para vulnerabilidades en sus productos, clave para administradores de sistemas y usuarios de Windows, aunque suele pasar desapercibido para el público general.

Vulnerabilidad crítica en Marimo (CVE-2026-39987) permite ejecución remota de código (RCE) sin autenticación, ya explotada activamente tras su publicación. Afecta a terminales interactivos expuestos por WebSocket y se soluciona actualizando a Marimo 0.23.0.

La IA descubre 2 vulnerabilidades desconocidas en CUPS (sistema de impresión de Linux/Unix), exponiendo impresoras y permitiendo su parcheo inmediato.

Apple lanza un parche urgente en iOS 18 para proteger dispositivos desactualizados contra el peligroso malware DarkSword, algo poco común en la compañía.

Cisco ha lanzado parches para corregir vulnerabilidades críticas en su Controlador de Gestión Integrada (IMC) (CVE-2026-20093, CVSS: 9,8) y Smart Software Manager On-Prem (CVE-2026-20160, CVSS: 9,8), que permiten a atacantes no autenticados eludir autenticación, obtener privilegios elevados y ejecutar comandos arbitrarios, afectando múltiples productos como servidores UCS y sistemas ENCS; aunque no hay evidencia de explotación activa, fallos recientes en Cisco han sido aprovechados por ciberdelincuentes.

Google lanza parche de emergencia para Chrome al detectar el cuarto cero-día explotado en 2026, una vulnerabilidad crítica usada en ataques activos.

Microsoft acaba de lanzar una actualización de emergencia fuera de banda para resolver un fallo persistente en la instalación que afecta a los usuarios de Windows 11. Lanzada el 31 de marzo de 2026, la actualización KB5086672 está dirigida específicamente a sistemas con Windows 11 versiones 25H2 y 24H2. Este parche corrige un error crítico en la configuración introducido a finales de marzo, que impedía a los usuarios aplicar con éxito las mejoras recientes del sistema

Microsoft emite una actualización de emergencia para Windows 11 — corrige el fallido despliegue de la actualización previa de marzo de la semana pasada

La última actualización de emergencia de Windows 11 aborda errores generalizados de instalación y reemplaza el problemático despliegue de KB5079391.

Google ha lanzado una actualización de seguridad de emergencia para su navegador Chrome, parcheando una vulnerabilidad zero-day que ya está siendo explotada activamente en ataques. El canal Stable se ha actualizado a la versión 146.0.7680.177/178 para Windows y Mac, y 146.0.7680.177 para Linux, con el despliegue esperado para llegar a todos los usuarios en los próximos días y semanas

Se han publicado actualizaciones de seguridad críticas en marzo de 2026 para corregir múltiples vulnerabilidades en sistemas empresariales y de software de IA. Los últimos avisos destacan fallos graves que podrían permitir a los atacantes ejecutar código arbitrario, provocar condiciones de denegación de servicio (DoS) o escalar privilegios en sistemas comprometidos. Se insta encarecidamente a las organizaciones que utilizan los frameworks de IA de NVIDIA a revisar y parchear sus entornos

La CISA ha añadido cinco vulnerabilidades de Apple, Craft CMS y Laravel Livewire a su catálogo KEV por explotación activa, exigiendo a agencias federales parchearlas antes del 3 de abril de 2026 y recomendando su mitigación urgente a todas las organizaciones por riesgo de RCE.

El grupo Ransomware Interlock está explotando una vulnerabilidad zero-day crítica (CVE-2026-20131, CVSS 10.0) en Cisco FMC, permitiendo ejecución remota de comandos con privilegios de root sin autenticación; Cisco lanzó un parche de emergencia para solucionarlo.

Cloud Software Group ha lanzado parches de seguridad urgentes para NetScaler ADC (anteriormente Citrix ADC) y NetScaler Gateway (anteriormente Citrix Gateway), solucionando dos vulnerabilidades significativas que podrían permitir a atacantes remotos no autenticados comprometer los sistemas afectados. Las organizaciones que gestionan implementaciones propias están fuertemente instadas a aplicar las actualizaciones de inmediato. CVE-2026-3055: Lectura Crítica Fuera de Límites a través de SAML IDP 

Roundcube Webmail, un cliente de correo electrónico IMAP basado en web y de código abierto ampliamente utilizado, ha lanzado la versión 1.6.14, que incluye parches de seguridad críticos para solucionar múltiples vulnerabilidades graves en la rama 1.6.x. Esta actualización resuelve una amplia gama de problemas de seguridad, que van desde riesgos de escritura arbitraria de archivos antes de la autenticación hasta cross-site scripting (XSS) y server-side request forgery (SSRF). 

Citrix corrige vulnerabilidades críticas en NetScaler ADC y Gateway (CVE-2026-3055 con CVSS 9.3 y CVE-2026-4368 con CVSS 7.7) que permiten fugas de datos sin autenticación y confusión de sesiones. Afectan a versiones 14.1 <14.1-66.59 y 13.1 <13.1-62.23, incluyendo FIPS/NDcPP <13.1-37.262. Solo dispositivos configurados como SAML IDP o Gateway/AAA son vulnerables. Se recomienda actualizar urgentemente para evitar riesgos similares a Citrix Bleed. Más detalles.

Oracle ha lanzado un parche urgente para corregir CVE-2026-21992, una vulnerabilidad crítica (CVSS 9.8) que permite ejecución remota de código (RCE) sin autenticación en Identity Manager, explotable vía HTTP con baja complejidad.