Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-3611
Fecha de publicación:
12/03/2026
Idioma:
Español
El controlador de gestión de edificios Honeywell IQ4x expone su HMI completo basado en web sin autenticación en su configuración predeterminada de fábrica. Al no tener ningún módulo de usuario configurado, la seguridad está deshabilitada por diseño y el sistema opera bajo un contexto de Invitado del Sistema (nivel 100), otorgando privilegios de lectura/escritura a cualquier parte capaz de alcanzar la interfaz HTTP. Los controles de autenticación solo se aplican después de que se crea un usuario web a través de U.htm, lo que habilita dinámicamente el módulo de usuario. Debido a que esta función es accesible antes de la autenticación, un usuario remoto puede crear una nueva cuenta con permisos administrativos de lectura/escritura, habilitando el módulo de usuario e imponiendo la autenticación bajo credenciales controladas por el atacante. Esta acción puede bloquear eficazmente a los operadores legítimos de la configuración y administración local y basada en web.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/03/2026

CVE-2026-1527
Fecha de publicación:
12/03/2026
Idioma:
Español
ImpactoCuando una aplicación pasa entrada controlada por el usuario a la opción upgrade de client.request(), un atacante puede inyectar secuencias CRLF (\r\n) para:<br /> <br /> * Inyectar encabezados HTTP arbitrarios<br /> * Terminar la solicitud HTTP prematuramente y contrabandear datos sin procesar a servicios no HTTP (Redis, Memcached, Elasticsearch)<br /> La vulnerabilidad existe porque undici escribe el valor upgrade directamente al socket sin validar caracteres de encabezado no válidos:<br /> <br /> // lib/dispatcher/client-h1.js:1121<br /> if (upgrade) {<br /> header += `connection: upgrade\r\nupgrade: ${upgrade}\r\n`<br /> }
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2026

CVE-2026-1528
Fecha de publicación:
12/03/2026
Idioma:
Español
Impacto<br /> Un servidor puede responder con un marco WebSocket utilizando el formato de longitud de 64 bits y una longitud extremadamente grande. El ByteParser de undici desborda las operaciones matemáticas internas, termina en un estado inválido y lanza un TypeError fatal que termina el proceso.<br /> <br /> Parches<br /> <br /> Parcheado en la versión v7.24.0 y v6.24.0 de undici. Los usuarios deben actualizar a esta versión o posterior.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

CVE-2026-2229
Fecha de publicación:
12/03/2026
Idioma:
Español
Impacto<br /> El cliente WebSocket undici es vulnerable a un ataque de denegación de servicio debido a la validación incorrecta del parámetro server_max_window_bits en la extensión permessage-deflate. Cuando un cliente WebSocket se conecta a un servidor, anuncia automáticamente soporte para la compresión permessage-deflate. Un servidor malicioso puede responder con un valor server_max_window_bits fuera de rango (fuera del rango válido de zlib de 8-15). Cuando el servidor envía posteriormente un frame comprimido, el cliente intenta crear una instancia zlib InflateRaw con el valor windowBits no válido, causando una excepción RangeError síncrona que no es capturada, lo que resulta en la terminación inmediata del proceso.<br /> <br /> La vulnerabilidad existe porque:<br /> <br /> * La función isValidClientWindowBits() solo valida que el valor contiene dígitos ASCII, no que caiga dentro del rango válido 8-15<br /> * La llamada a createInflateRaw() no está envuelta en un bloque try-catch<br /> * La excepción resultante se propaga a través de la pila de llamadas y bloquea el proceso de Node.js
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

CVE-2026-2581
Fecha de publicación:
12/03/2026
Idioma:
Español
Esta es una vulnerabilidad de consumo de recursos no controlado (CWE-400) que puede conducir a una denegación de servicio (DoS).<br /> <br /> En versiones vulnerables de Undici, cuando interceptors.deduplicate() está habilitado, los datos de respuesta para solicitudes deduplicadas podrían acumularse en la memoria para los manejadores posteriores. Un endpoint ascendente controlado por un atacante o no confiable puede explotar esto con respuestas grandes/en fragmentos y solicitudes idénticas concurrentes, causando un alto uso de memoria y una posible terminación del proceso por OOM.<br /> <br /> Los usuarios afectados son aplicaciones que utilizan el interceptor de deduplicación de Undici contra endpoints que pueden producir cuerpos de respuesta grandes o de larga duración.<br /> <br /> Parches. El problema ha sido parcheado cambiando el comportamiento de deduplicación para transmitir fragmentos de respuesta a los manejadores posteriores a medida que llegan (en lugar de la acumulación del cuerpo completo), y evitando la deduplicación tardía cuando la transmisión del cuerpo ya ha comenzado.<br /> <br /> Los usuarios deberían actualizar a las primeras versiones oficiales de Undici (y Node.js, cuando corresponda) que incluyan este parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2026

CVE-2026-1526
Fecha de publicación:
12/03/2026
Idioma:
Español
El cliente WebSocket undici es vulnerable a un ataque de denegación de servicio a través de un consumo de memoria ilimitado durante la descompresión permessage-deflate. Cuando una conexión WebSocket negocia la extensión permessage-deflate, el cliente descomprime las tramas comprimidas entrantes sin imponer ningún límite en el tamaño de los datos descomprimidos. Un servidor WebSocket malicioso puede enviar una pequeña trama comprimida (una &amp;#39;bomba de descompresión&amp;#39;) que se expande a un tamaño extremadamente grande en memoria, causando que el proceso de Node.js agote la memoria disponible y colapse o deje de responder.<br /> <br /> La vulnerabilidad existe en el método PerMessageDeflate.decompress(), que acumula todos los fragmentos descomprimidos en memoria y los concatena en un único Buffer sin verificar si el tamaño total excede un umbral seguro.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

CVE-2026-32260
Fecha de publicación:
12/03/2026
Idioma:
Español
Deno es un entorno de ejecución de JavaScript, TypeScript y WebAssembly. Desde 2.7.0 hasta 2.7.1, existe una vulnerabilidad de inyección de comandos en el polyfill node:child_process de Deno (modo shell: true) que elude la corrección para CVE-2026-27190. La sanitización de argumentos en dos etapas en transformDenoShellCommand (ext/node/polyfills/internal/child_process.ts) tiene un error de prioridad: cuando un argumento contiene un patrón $VAR, se envuelve en comillas dobles (L1290) en lugar de comillas simples. Las comillas dobles en POSIX sh no suprimen la sustitución de comandos con comillas invertidas, permitiendo que se ejecuten comandos inyectados. Un atacante que controla los argumentos pasados a spawnSync o spawn con shell: true puede ejecutar comandos arbitrarios del sistema operativo, eludiendo el sistema de permisos de Deno. Esta vulnerabilidad está corregida en 2.7.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

CVE-2026-32269
Fecha de publicación:
12/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.13 y 8.6.39, el adaptador de autenticación OAuth2 no valida correctamente los ID de aplicación cuando appidField y appIds están configurados. Durante la validación del ID de aplicación, se envía un valor malformado al endpoint de introspección de tokens en lugar del token de acceso real del usuario. Dependiendo del comportamiento del endpoint de introspección, esto podría causar que todos los inicios de sesión de OAuth2 fallen, o permitir la autenticación desde contextos de aplicación no permitidos si el endpoint devuelve datos de apariencia válida para la solicitud malformada. Las implementaciones que utilizan el adaptador OAuth2 con appidField y appIds configurados se ven afectadas. Esta vulnerabilidad está corregida en 9.6.0-alpha.13 y 8.6.39.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

CVE-2026-32274
Fecha de publicación:
12/03/2026
Idioma:
Español
Black es el formateador de código Python intransigente. Antes de la versión 26.3.1, Black escribe un archivo de caché, cuyo nombre se calcula a partir de varias opciones de formato. El valor de la opción --python-cell-magics se colocaba en el nombre del archivo sin sanitización, lo que permitía a un atacante que controla el valor de este argumento escribir archivos de caché en ubicaciones arbitrarias del sistema de archivos. Corregido en Black 26.3.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/03/2026

CVE-2026-32239
Fecha de publicación:
12/03/2026
Idioma:
Español
Cap&amp;#39;n Proto es un formato de intercambio de datos y un sistema RPC basado en capacidades. Antes de la versión 1.4.0, un valor negativo de Content-Length se convertía a sin signo, tratándolo en su lugar como una longitud imposiblemente grande. En teoría, este error podría permitir el contrabando de solicitudes/respuestas HTTP. Esta vulnerabilidad está corregida en la versión 1.4.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

CVE-2026-32240
Fecha de publicación:
12/03/2026
Idioma:
Español
Cap&amp;#39;n Proto es un formato de intercambio de datos y un sistema RPC basado en capacidades. Antes de la versión 1.4.0, al usar Transfer-Encoding: chunked, si el tamaño de un fragmento se analizaba a un valor de 2^64 o superior, se truncaba a un entero de 64 bits. En teoría, este error podría permitir el contrabando de solicitudes/respuestas HTTP. Esta vulnerabilidad está corregida en la versión 1.4.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

CVE-2026-32248
Fecha de publicación:
12/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.12 y 8.6.38, un atacante no autenticado puede tomar el control de cualquier cuenta de usuario que fue creada con un proveedor de autenticación que no valida el formato del identificador de usuario (p. ej., autenticación anónima). Al enviar una solicitud de inicio de sesión manipulada, el atacante puede hacer que el servidor realice una consulta de coincidencia de patrones en lugar de una búsqueda de coincidencia exacta, permitiendo al atacante hacer coincidir un usuario existente y obtener un token de sesión válido para la cuenta de ese usuario. Ambos backends de base de datos MongoDB y PostgreSQL están afectados. Cualquier despliegue de Parse Server que permite la autenticación anónima (habilitada por defecto) es vulnerable. Esta vulnerabilidad está corregida en 9.6.0-alpha.12 y 8.6.38.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/03/2026
Suscribirse a Vulnerabilidades