Seguridad

El 16 de marzo de 2026 se publicó el advisory de Langflow CVE-2026-33017. Veinte horas después, honeypots de Sysdig registraban los primeros exploits funcionales sin que existiera PoC público. Crónica del patch window collapse en herramientas AI open-source.

El proyecto FreeBSD publicó el aviso SA-26:13.exec por una vulnerabilidad de escalada local de privilegios en execve(). El fallo, identificado como CVE-2026-7270, afecta a todas las versiones soportadas y permite que un usuario sin privilegios obtenga root. No hay workaround: la única solución es actualizar.

El 6 de mayo de 2026, Google publicó en su Chrome Releases blog la actualización al canal estable de Chrome 148.0.7778.96/.97, una de las más grandes en la historia del navegador: 127 vulnerabilidades parchadas en una sola release, de las cuales tres están clasificadas como…

El 7 de mayo de 2026, el investigador de seguridad surcoreano Hyunwoo Kim (@v4bel) publicó en su repositorio dirtyfrag en GitHub la divulgación completa, con prueba de concepto funcional, de una nueva clase de escalada de privilegios local en el kernel Linux. La llamó Dirty…

El 14 de enero de 2026, GitHub Security Lab publicó en su blog el lanzamiento del Taskflow Agent, un framework open source bajo licencia MIT para realizar investigación de seguridad asistida por modelos de lenguaje grandes. Cuatro meses después, los autores publicaron una…

El grupo ShinyHunters tumbó Canvas, la plataforma de Instructure usada por universidades en todo el mundo. Amenazan con publicar datos de 275 millones de estudiantes, profesores y personal de 9.000 escuelas si Instructure no negocia antes del 12 de mayo de 2026.

El 4 de mayo de 2026 la Apache Software Foundation publicó la versión 2.4.67 de Apache HTTP Server, el servidor web open source que sigue sirviendo cerca de un tercio de los sitios activos en internet. La versión llega como release de seguridad, features y bugfixes, e incluye…

El 18 de abril de 2026, el protocolo de restaking KelpDAO sufrió la pérdida de **116,500 rsETH —aproximadamente 292 millones de dólares al precio del momento— en lo que la firma forense Merkle Science describió como un robo coordinado en el que un ataque de denegación de…

El 28 de abril de 2026, cPanel publicó una actualización de emergencia que parchó CVE-2026-41940, una falla crítica con puntaje CVSS 9.8 que permite a un atacante remoto sin credenciales obtener control administrativo total sobre cualquier instancia de cPanel & WHM o WP…