46 Vulnerabilidades Críticas Que Debes Conocer
A mediados de marzo de 2026 salió un compilado importante: 46 vulnerabilidades críticas en productos clave incluyendo WordPress, navegadores y firmware de routers. Lo preocupante no es solo la cantidad (eso ya es bastante), sino que varias están siendo explotadas activamente en la salvaje.
En 30 segundos
- Publicado 12 de marzo de 2026: resumen de 46 vulnerabilidades críticas en múltiples productos y plataformas
- Varias vulnerabilidades están siendo explotadas activamente en ataques reales, no son teóricas
- Afecta a WordPress, Chromium, routers Netcore, firmware TEW-827DRU y aplicaciones web populares
- Prioridad máxima: actualizar productos sin demora, especialmente los que exponés en internet
- Muchas vulnerabilidades no tienen versiones especificadas, revisá directamente con el fabricante
Qué es este resumen y por qué importa ahora
Igor Urraza de Iurlek compiló 46 vulnerabilidades reportadas desde hace poco tiempo (muchas desde marzo). La lista es un salvavidas porque no tenés que andar cazando boletines de seguridad en treinta sitios distintos. El tema es que varias ya están siendo atacadas en producción — no son amenazas futuras, son ataques que pasan hoy.
Ojo: algunas vulnerabilidades del listado todavía no tienen detalles públicos de versiones afectadas exactas. Tenés que contactar al fabricante o revisar sus advisories oficiales para saber qué versión correge cada cosa.
Vulnerabilidades en WordPress y plugins
El que mete WordPress en producción necesita fijar aten ción acá. El resumen flagea vulnerabilidades en plugins populares como Modern Events Calendar Lite, que tiene un RCE (ejecución remota de código) clasificado como crítico.
Si ejecutás Modern Events Calendar Lite en tu sitio y no actualizaste desde mediados de marzo, sos vulnerable. El exploit está disponible, no es una amenaza hipotética. Mismo con Daily Prayer Time Project — dicen explotación activa confirmada (spoiler: significa que les pasó a otros ya).
La recomendación obvia: actualizá WordPress mismo, y después pasá plugin por plugin eliminando los que no usas realmente. Cada plugin que tenés instalado es un vector más que tenés que defender. Te puede servir nuestra cobertura de comparar seguridad entre plataformas.
Vulnerabilidades en Chromium
Los navegadores basados en Chromium (Chrome, Edge, ópera, Brave, etc.) tienen una vulnerabilidad flagged como Alta en el componente PowerVR. No tenemos todos los detalles de qué versiones exactas están afectadas, pero la regla es simple: si tu navegador te ofrece actualización, hacela ahora mismo.
Cromium actualiza cada cuatro semanas, a veces antes si hay algo crítico. Si dejaste el navegador sin actualizar hace 6 meses “porque estoy ocupado”, ya es hora.
Firmware y equipos de red
Acá viene lo que más duele: routers y firewalls. El Netcore Router Firmware tiene una vulnerabilidad siendo explorada activamente (nuevamente, no en laboratorios, en ataques reales). También está el firmware TEW-827DRU, que usa credenciales codificadas estáticamente.
¿Qué significa credenciales codificadas? Que alguien puede reverser el firmware, encontrar usuario y contraseña fijos, y entrar al router sin necesidad de saber qué configuraste vos. Suena feo. Es feo. Lo explicamos a fondo en vulnerabilidades en dependencias npm.
Si tenés un Netcore o un TP-Link TEW-827DRU, revisá si el fabricante tiene parches disponibles. Si no los tiene, empezá a pensar en cambiar el equipo. Tener un router vulnerable en tu infraestructura es como tener una puerta con cerradura rota en tu caso.
Tabla de vulnerabilidades críticas publicadas
| Producto / Componente | Nivel de Riesgo | Estado de Explotación | Acciones Recomendadas |
|---|---|---|---|
| Chromium (PowerVR) | Alta | No especificado | Actualizar navegador a la última versión |
| Modern Events Calendar Lite | Crítica (RCE) | Potencial activo | Actualizar plugin o desinstalar si no se usa |
| Daily Prayer Time Project | Alta | Explotación activa confirmada | Desinstalar o pedir al proveedor parche urgente |
| Netcore Router Firmware | Alta | Exploit en uso activo | Consultar con fabricante, reemplazar si no hay parche |
| TP-Link TEW-827DRU | Alta (credenciales codificadas) | Explotándose activamente | Buscar versión de firmware parchada o cambiar el equipo |
Cómo proteger tu sitio web de vulnerabilidades
Primero, automatizá las actualizaciones donde puedas. Si tu host lo permite (y si tenés un servidor decente como los de donweb.com, deberías poder), activá actualizaciones automáticas de WordPress y plugins.
Segundo, inventarió qué tenés instalado. Arrancá una auditoría ahora: ¿qué plugins realmente necesitás? ¿Cuántos instalaste hace dos años “por si acaso” y nunca más los tocaste? Borralos. Menos código = menos superficie de ataque.
Tercero, si usás Wordfence, Sucuri u otro WAF, verificá que el motor de reglas esté actualizado. Estos servicios liberan reglas para nuevas vulnerabilidades dentro de horas de publicarse.
Cuarto, revisa tu router. Logueate (sin usar las credenciales por defecto, que espero que ya cambiaste), y buscá en el menú de administración si hay una opción “Check for updates” o similar. Algunos routers más viejos no actualizan automáticamente. Sobre eso hablamos en seguridad completa en GitHub.
Quinto, si algún producto del listado está en tu infra y no tiene parche disponible, planificá el reemplazo. No es sexy, pero es necesario.
Errores comunes que comete la gente
Asumir que “crítico” es exageración
No lo es. Crítico significa que sin estar en tu servidor, sin credenciales tuyas, alguien puede ejecutar código arbitrario y hacer lo que quiera. Eso incluye robar datos, instalar malware, borrar tu sitio, o usarlo para atacar a otros.
Esperar a que “esté más documentado”
Si una vulnerabilidad está en explotación activa y vos no actualizaste, cada día que pasa los atacantes tienen otra chance. Primero actualiza, después preguntás dudas técnicas si es necesario.
No revisar los advisories oficiales
El resumen es útil para darte el panorama, pero necesitás entrar a los advisories del fabricante para saber exactamente qué versiones estás corriendo vos y qué versión corrige cada cosa. El resumen puede decir “afectadas múltiples versiones” sin especificar; el advisory oficial tiene los detalles. Relacionado: parches críticos en Rails.
Preguntas Frecuentes
¿Cuál es la diferencia entre una vulnerabilidad “crítica” y una “alta”?
Crítica significa que sin acceso previo, sin autenticación, alguien remoto puede comprometer el sistema completamente. Alta es seria pero puede requerir condiciones previas — ponele, ser usuario registrado, o haber logrado algo antes. En la práctica, si está siendo explotada activamente, ambas demandan acción inmediata. Cobertura relacionada: problemas en WordPress 6.9.2.
Para un panorama completo, mirá Resumen de Vulnerabilidades Críticas – 46 Elementos.
Si querés saber cuáles son las vulnerabilidades críticas que afectan tu sitio, revisá nuestro Resumen de Vulnerabilidades Críticas – 46 Elementos.
¿Qué pasa si mi plugin vulnerable no tiene parche disponible?
Tenés tres opciones: primero, desinstálalo y buscá una alternativa que tenga mantenimiento activo. Segundo, contactá al proveedor del plugin pidiendo parche urgente y fecha estimada (a veces salen en días). Tercero, si realmente es crítico y no hay alternativa, mantenlo desactivado en producción — instálalo solo en local para desarrollo si lo necesitás. Más sobre esto en plugins de protección para WordPress.
¿Cómo sé exactamente qué versión de un producto estoy corriendo?
En WordPress, dentro de admin ves la versión en el footer. En plugins, tenés el número de versión en el listado de plugins. En routers, entrás a la interfaz de administración (192.168.1.1 o 192.168.0.1 típicamente) y buscás “System” o “About”. En Chromium, abrís Chrome → tres puntos → About Google Chrome y te muestra automáticamente la versión (y si hay update disponible).
¿Es suficiente con un WAF como Wordfence para protegerme?
El WAF es una red de contención. Está bien como capa extra, pero no reemplaza actualizar. Un WAF bueno puede bloquear exploits conocidos, pero si la vulnerabilidad es absolutamente 0-day (nunca vista) o el exploit se actualiza muy seguido, el WAF puede no conocerla aún. Actualizar es la verdadera defensa.
Conclusión
El resumen de 46 vulnerabilidades de marzo 2026 es una llamada de atención. No todos los elementos del listado te van a afectar directamente — si no usas Daily Prayer Time Project, ese RCE no es tu problema. Pero si usas WordPress, Chromium, o tenés un router en tu oficina, hay algo ahí que requiere acción.
El patrón que vale notar: varias están siendo exploradas activamente. Eso significa que cada hora que pasas sin actualizar, hay probabilidad real de que tu sitio sea atacado. No es teórico.
Hacé el inventario ahora, priorizá plugins críticos y el router, y planificá los updates durante una ventana donde podás revisar que todo siga funcionando después. Si algo se rompe post-actualización, peor es estar comprometido.
