Investigadores de Microsoft descubrieron AutoJack, una vulnerabilidad en AutoGen Studio que permite la ejecución remota de código al engañar a un agente de IA para que cargue una página maliciosa. El fallo reside en la falta de autenticación y validación de comandos en el WebSocket de MCP, afectando principalmente a quienes usaron versiones pre-lanzamiento. Aunque el código en GitHub ya fue corregido, se recomienda aislar los agentes de IA en contenedores para evitar que accedan a servicios locales privilegiados.

Se ha detectado una vulnerabilidad de seguridad crítica en el plugin de WordPress Avada (Fusion) Builder, que afecta a más de 1 millón de sitios web. El fallo, identificado como CVE-2026-8713 con una puntuación CVSS de 9.1, permite ataques de eliminación arbitraria de archivos, lo que podría derivar en la ejecución remota de código y el compromiso total del sitio.

Han descubierto un nuevo método para utilizar herramientas de IA de forma gratuita y maliciosa. En lugar de emplear sus propios recursos, están secuestrando servidores de modelos de IA expuestos para integrarlos en procesos de hacking automatizados. Esto permite crear una herramienta de ataque autónoma capaz de escanear objetivos, localizar vulnerabilidades y escribir exploits.

Mozilla ha lanzado Firefox 152 para solucionar diversas vulnerabilidades de severidad alta que podrían permitir ataques de ejecución remota de código (RCE) y fugas del sandbox. El aviso de seguridad, publicado el 16 de junio de 2026, destaca fallos en componentes centrales del navegador y recomienda a los usuarios actualizar inmediatamente.

Se ha descubierto una nueva vulnerabilidad de BootROM denominada usbliter8 que afecta a dispositivos Apple con procesadores A12, S4/S5 y A13. Este exploit combina un fallo de hardware en el controlador USB Synopsys DWC2 con un error de configuración del firmware, lo que permite comprometer totalmente la cadena de arranque del procesador. Debido a que el código de la BootROM es inmutable, no es posible lanzar un parche de software para solucionar este problema.

Investigadores de SpecterOps han advertido que las nuevas capacidades de inteligencia artificial de Microsoft SQL Server 2025 presentan riesgos de seguridad críticos. Se ha demostrado que los atacantes pueden abusar de estas funciones legítimas para realizar la exfiltración sigilosa de datos y establecer comunicaciones de comando y control (C2) directamente desde el motor de la base de datos.

Salesforce desactivó la integración con la aplicación Klue Battlecards tras un incidente de seguridad provocado por el grupo Icarus. Los atacantes utilizaron credenciales antiguas y tokens OAuth para acceder a datos de clientes en Salesforce, incluyendo contactos y cotizaciones. Klue ya ha tomado medidas para revocar accesos y eliminar el código no autorizado.

Apple actualizó los Beats Studio Buds para corregir una vulnerabilidad grave que permitía a atacantes cercanos escuchar el micrófono sin consentimiento. Por otro lado, se descubrió un fallo de hardware irreparable en los chips A12 y A13 de iPhone que permite la ejecución de código malicioso. La única solución para este último caso es migrar a hardware más reciente.

Cisco ha revelado vulnerabilidades críticas de seguridad en su Identity Services Engine (ISE) que podrían permitir a los atacantes ejecutar código malicioso de forma remota y acceder a datos sensibles. Estas fallas, identificadas como CVE-2026-20181 y CVE-2026-20190, representan un riesgo significativo para las redes empresariales y cuentan con una puntuación CVSS de 9.1.

Están explotando activamente una vulnerabilidad de exposición de información sensible en el plugin de WordPress Gravity SMTP. El ataque afecta a más de 100,000 sitios con el objetivo de recolectar datos de configuración y credenciales de correo electrónico. El fallo, identificado como CVE-2026-4020 y con una calificación de riesgo medio (5.3), impacta a todas las versiones del plugin hasta la 2.1.4.

Microsoft ha reconocido oficialmente una vulnerabilidad crítica de día cero en Microsoft Defender, denominada "RoguePlanet". El fallo, identificado como CVE-2026-50656 y publicado el 16 de junio de 2026, posee una puntuación CVSS de 7.8 (Importante). Actualmente, la compañía se encuentra desarrollando un parche de seguridad para solucionar este problema.

Se ha publicado un exploit de prueba de concepto (PoC) para una vulnerabilidad crítica de Denegación de Servicio (DoS) en el servidor Apache HTTP, identificada como CVE-2026-49975 y denominada "HTTP/2 Bomb". Este fallo permite que atacantes remotos agoten la memoria del servidor y suspendan los servicios sin necesidad de autenticación, lo que representa un riesgo significativo para las organizaciones que no hayan actualizado sus despliegues de Apache.

Un sofisticado actor de amenazas vinculado a China, conocido como Velvet Ant, llevó a cabo una intrusión cibernética a largo plazo en la red interna de una organización importante, permaneciendo indetectado durante casi una década. Esta campaña, denominada Operación Highland, destacó por un nivel de paciencia y profundidad técnica poco común, resultando particularmente alarmante debido a su persistencia.

Se ha revelado una vulnerabilidad de larga data en el stack de red de OpenBSD que permite a los atacantes evadir completamente la autenticación PAP. El problema se encuentra en la función sppp_pap_input() dentro del subsistema sppp(4), el cual gestiona los enlaces PPP síncronos utilizados en la conectividad PPPoE, debido a un fallo de lógica con décadas de antigüedad.

CISA ha incluido en su catálogo de vulnerabilidades explotadas una falla crítica en Oracle PeopleSoft (CVE-2026-35273). Este fallo permite que atacantes no autenticados obtengan el control total de los sistemas afectados debido a la falta de autenticación en funciones críticas.

Una exhaustiva campaña de ciberespionaje denominada "FortiBleed" ha comprometido silenciosamente más de 73,932 URLs únicas de firewalls de Fortinet en 194 países. Esta operación, descubierta por el investigador Volodymyr "Bob" Diachenko y analizada por Hudson Rock, representa una acción a escala industrial y altamente automatizada dirigida contra dispositivos FortiGate y pasarelas SSL VPN a nivel global.

Fortra ha revelado una vulnerabilidad de seguridad crítica (CVE-2026-9862) en su gestor Core Privileged Access Manager (BoKS). Este fallo, calificado con una gravedad de 9.8 en el sistema CVSS, consiste en una inyección de comandos del sistema operativo en el servicio boks_autoregisterd. Debido a este error en la funcionalidad de autorregistro, atacantes remotos podrían ejecutar comandos arbitrarios en los sistemas afectados.

Se detectó una vulnerabilidad en el SDK de Python de Vertex AI que permitía a atacantes secuestrar la carga de modelos de aprendizaje automático mediante el uso de nombres de buckets predecibles. Esto permitía ejecutar código malicioso en la infraestructura de Google y robar tokens de acceso y datos confidenciales. Google ya solucionó el problema y recomienda actualizar el SDK a la versión 1.148.0 o superior.

La CISA advirtió sobre una falla crítica en el editor JCE de Joomla que permite la ejecución de código PHP por usuarios no autenticados, recomendando actualizar a la versión 2.9.99.5. Paralelamente, se reportaron ataques de cadena de suministro contra plugins de WordPress y la inyección de webshells para manipular servidores. Estos últimos ataques buscan monetizar sitios mediante redes de blogs privados y enlaces ocultos de SEO.

Casi 14,000 servidores de SimpleHelp expuestos a internet se encuentran en riesgo tras la revelación de una vulnerabilidad crítica de omisión de autenticación (CVE-2026-48558). Este fallo, que afecta a la plataforma de monitoreo y gestión remota (RMM), fue descubierto por Horizon3.ai mediante su iniciativa de investigación con IA denominada "Sua Sponte".