Se ha descubierto una vulnerabilidad crítica de seguridad en Mirasvit Cache Warmer, un plugin de caché ampliamente utilizado en Magento. Este fallo de inyección de objetos PHP no autenticada permite que atacantes ejecuten código malicioso de forma remota sin necesidad de iniciar sesión, realizar cambios de configuración ni tener acceso de administrador.

IBM ha revelado una vulnerabilidad de seguridad crítica en su ecosistema WebSphere Application Server. Este fallo, identificado como CVE-2026-8633, podría permitir que atacantes ejecuten código arbitrario mediante el uso de solicitudes HTTP especialmente diseñadas. El problema afecta específicamente a los entornos que utilizan el componente opcional de Web Server Plug-ins, lo que aumenta considerablemente el riesgo para las implementaciones empresariales que dependen de la infraestructura de WebSphere.

El 1 de junio de 2026 se produjo un ataque significativo a la cadena de suministro que afectó a más de 30 paquetes oficiales del entorno @redhat-cloud-services npm. Esta campaña, denominada “Miasma: The Spreading Blight”, utiliza una nueva variante del malware Mini Shai-Hulud, un gusano sofisticado diseñado para el robo de credenciales y vinculado previamente al grupo de actores de amenazas TeamPCP. Se ha confirmado que no se trata de una campaña de typosquatting.

Se ha detectado la explotación activa de una vulnerabilidad crítica de ejecución remota de código (RCE) en Windows Netlogon, identificada como CVE-2026-41089. Este fallo afecta a los servidores de Windows configurados como controladores de dominio, permitiendo que atacantes remotos no autenticados ejecuten código arbitrario con privilegios de nivel SYSTEM.

Se ha revelado una vulnerabilidad crítica en Plesk, identificada como CVE-2026-44962, que permite a usuarios autenticados ejecutar comandos arbitrarios del sistema operativo en los servidores afectados. El problema radica específicamente en el componente APS Application Catalog.

Tras recibir fuertes críticas de la comunidad de investigación de seguridad, Microsoft ha aclarado su postura para reducir las amenazas legales percibidas. A través de un comunicado de su Centro de Respuesta de Seguridad (MSRC), la compañía ha reafirmado su compromiso con la divulgación coordinada de vulnerabilidades, buscando así desactivar la crisis generada por el manejo de sus relaciones con los investigadores.

Se ha detectado una falta crítica en la herramienta de recuperación de cuentas de Instagram impulsada por la IA de Meta. Esta vulnerabilidad permitía a los atacantes secuestrar cuentas de alto valor engañando al chatbot para que enviara códigos de restablecimiento de contraseñas sin requerir ninguna verificación. Los investigadores de seguridad ZachXBT y Dark Web Informer fueron los primeros en exponer públicamente este fallo.

Una vulnerabilidad crítica (CVE-2026-8732) en el plugin WP Maps Pro (versiones 6.1.0 y anteriores) permite a atacantes crear cuentas de administrador sin autenticación. El fallo se debe a una función de "acceso temporal" mal implementada, facilitando el control total del sitio web. Se recomienda actualizar urgentemente a la **versión 6.1.1**, ya que se han detectado miles de intentos de explotación.

GitLab ha lanzado actualizaciones de seguridad urgentes para sus ediciones Community (CE) y Enterprise (EE). Estas versiones (19.0.1, 18.11.4 y 18.10.7) corrigen múltiples fallos de denegación de servicio (DoS), errores de autorización y vulnerabilidades relacionadas con Duo AI en instancias autogestionadas.

Muchos desarrolladores enfrentan el problema de que los escaneos de imágenes de contenedores generan cientos de CVEs, de los cuales la mayoría es ruido. Esto crea una brecha donde las vulnerabilidades reales se ignoran y se despliegan en producción. Para solucionar esto, DockSec ha introducido inteligencia artificial aplicada a la seguridad de contenedores, permitiendo transformar esos numerosos reportes en soluciones accionables y efectivas.

Palo Alto Networks advirtió sobre la explotación activa de la vulnerabilidad CVE-2026-0257 en PAN-OS y Prisma Access. Este fallo de omisión de autenticación permite a atacantes establecer conexiones VPN no autorizadas y acceder a redes internas. Se recomienda aplicar los parches urgentes o deshabilitar la función de anulación de autenticación como mitigación temporal.

Ciberdelincuentes explotaron una falla crítica en FortiClient EMS (CVE-2026-35616) para distribuir un malware que roba credenciales disfrazado de actualización. Los atacantes usaron la propia infraestructura de gestión para ejecutar scripts de PowerShell en los dispositivos finales. Se recomienda actualizar a la versión 7.4.7 o superior para mitigar este riesgo.

Se ha detectado una nueva oleada de paquetes de software maliciosos diseñados para robar credenciales de la nube y secretos de tuberías CI/CD desde los equipos de los desarrolladores. Este ataque, descubierto el 28 de mayo de 2026, resalta la vulnerabilidad de la cadena de suministro de software de código abierto y la facilidad con la que los atacantes pueden introducir código peligroso en el ecosistema.

Investigadores de Permiso han revelado ChatGPhish, una técnica de inyección de prompts basada en el navegador. Este ataque explota la función de resumen de páginas de ChatGPT para convertir cualquier sitio web en una superficie de phishing, permitiendo que enlaces maliciosos, alertas de seguridad falsas y códigos QR aparezcan directamente dentro de la interfaz confiable de ChatGPT.

Se ha revelado una vulnerabilidad crítica en la extensión Remote-SSH de Visual Studio Code que permite a los atacantes realizar un salto (pivot) desde las máquinas de los desarrolladores infectadas hacia entornos de producción y la nube. Debido al uso masivo de esta extensión en los flujos de trabajo modernos, el fallo representa un riesgo significativo para las organizaciones que dependen del acceso a infraestructura remota.

Oracle ha lanzado su primera Actualización de Parches de Seguridad Críticos (CSPU), la cual incluye 35 correcciones de seguridad para vulnerabilidades graves en diversas líneas de productos, tales como Oracle Database, Oracle REST Data Services, Oracle E‑Business Suite y otros. Este nuevo modelo de CSPU se ha diseñado como un conjunto de actualizaciones más pequeño y enfocado.

Se ha revelado una cadena de exploits denominada Zapocalypse, la cual demuestra cómo una función de ejecución de código de bajos privilegios dentro de Zapier podría haber sido utilizada para crear una ruta de ataque a la cadena de suministro. Este fallo permitiría lograr el control total de las cuentas de los usuarios en toda la plataforma. Token Security presentará los detalles de este ataque el 1 de junio de 2026 en el evento fwd:cloudsec North America.

Microsoft aboga por la divulgación coordinada de vulnerabilidades tras la publicación de varios zero-days en Windows por el investigador Chaotic Eclipse. La empresa afirma que publicar fallos sin previo aviso pone en riesgo a los usuarios y facilita el trabajo de los atacantes. Mientras tanto, el investigador acusa a Microsoft de maltrato y difamación, amenazando con nuevos lanzamientos.

Se ha detectado una campaña de explotación que afecta al servidor de gestión de endpoints FortiClient EMS. Los atacantes aprovecharon la vulnerabilidad CVE-2026-35616, relacionada con un control de acceso inadecuado, para desplegar un ladrón de credenciales previamente desconocido en los dispositivos gestionados de diversas empresas, utilizando para ello la infraestructura administrativa de confianza.

Se ha descubierto una vulnerabilidad crítica de escalada de privilegios en OpenVPN Connect para macOS (identificada como CVE-2026-9560). Este fallo permite que atacantes locales ejecuten comandos arbitrarios con privilegios elevados a través del servicio en segundo plano de la aplicación. El problema afecta a todas las versiones desde la 3.5.1 hasta la 3.8.1 y cuenta con una puntuación de gravedad CVSS 4.0 de 9.4 (Crítica).