Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PublicCMS (CVE-2026-3289)
Fecha de publicación:
27/02/2026
Idioma:
Español
Se ha identificado una debilidad en Sanluan PublicCMS 6.202506.d. Esto afecta a la función saveMetadata del archivo TemplateCacheComponent.java del componente Template Cache Generation. Una manipulación puede conducir a un salto de ruta. El ataque puede ejecutarse de forma remota. El exploit se ha puesto a disposición del público y podría utilizarse para ataques. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en jizhiCMS (CVE-2026-3292)
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en jizhiCMS hasta la versión 2.5.6. Afectada es la función findAll en la biblioteca frphp/lib/Model.php del componente Batch Interface. La manipulación del argumento data conduce a inyección SQL. El ataque es posible de ser llevado a cabo de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en OpenStack Vitrage (CVE-2026-28370)
Fecha de publicación:
27/02/2026
Idioma:
Español
En el analizador de consultas de OpenStack Vitrage antes de las versiones 12.0.1, 13.0.0, 14.0.0 y 15.0.0, un usuario con permiso para acceder a la API de Vitrage podría desencadenar la ejecución de código en el host del servicio Vitrage como el usuario bajo el cual se ejecuta el servicio Vitrage. Esto podría resultar en acceso no autorizado al host y un compromiso adicional del servicio Vitrage. Todas las implementaciones que exponen la API de Vitrage se ven afectadas. Esto ocurre en _create_query_function en vitrage/graph/query.py.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/02/2026

Vulnerabilidad en WP Recipe Maker (CVE-2026-1558)
Fecha de publicación:
27/02/2026
Idioma:
Español
El plugin WP Recipe Maker para WordPress es vulnerable a una Referencia Directa a Objeto Insegura (IDOR) en versiones hasta la 10.3.2, inclusive. Esto se debe a que el endpoint de la API REST /wp-json/wp-recipe-maker/v1/integrations/instacart tiene su permission_callback configurado como __return_true y a la falta de comprobaciones posteriores de autorización o propiedad en el recipeId proporcionado por el usuario. Esto hace posible que atacantes no autenticados sobrescriban metadatos de publicaciones arbitrarios (wprm_instacart_combinations) para cualquier ID de publicación en el sitio a través del parámetro recipeId.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Unitree (CVE-2026-1442)
Fecha de publicación:
27/02/2026
Idioma:
Español
Dado que el algoritmo de cifrado utilizado para proteger las actualizaciones de firmware está a su vez cifrado utilizando material clave disponible para un atacante (o cualquiera que preste atención), las actualizaciones de firmware pueden ser alteradas por un usuario no autorizado, y luego confiadas por un producto Unitree, como el Unitree Go2 y otros modelos. Este problema parece afectar a todas las ofertas actuales de Unitree a partir del 26 de febrero de 2026, y por lo tanto debe considerarse una vulnerabilidad tanto en los procesos de generación como de extracción de firmware. En el momento de esta publicación, no existe un mecanismo documentado públicamente para subvertir el proceso de actualización e insertar paquetes de firmware envenenados sin el conocimiento del propietario del equipo.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en OCaml (CVE-2026-28364)
Fecha de publicación:
27/02/2026
Idioma:
Español
En OCaml anterior a 4.14.3 y 5.x anterior a 5.4.1, un desbordamiento de lectura de búfer en la deserialización de Marshal (runtime/intern.c) permite la ejecución remota de código a través de una cadena de ataque multifase. La vulnerabilidad radica en la falta de validación de límites en la función readblock(), que realiza operaciones memcpy() sin límites utilizando longitudes controladas por el atacante a partir de datos Marshal manipulados.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en Fluent Forms Pro Add On Pack (CVE-2026-2428)
Fecha de publicación:
27/02/2026
Idioma:
Español
El plugin Fluent Forms Pro Add On Pack para WordPress es vulnerable a la Verificación Insuficiente de Autenticidad de Datos en todas las versiones hasta la 6.1.17, inclusive. Esto se debe a que la verificación de PayPal IPN (Notificación Instantánea de Pago) está deshabilitada por defecto (disable_ipn_verification tiene un valor predeterminado de 'yes' en PayPalSettings.php). Esto permite que atacantes no autenticados envíen notificaciones PayPal IPN falsificadas al endpoint IPN de acceso público, marcando las entregas de formularios no pagadas como 'pagadas' y activando la automatización posterior al pago (correos electrónicos, concesión de accesos, entrega de productos digitales).
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en itwanger paicoding (CVE-2026-3286)
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad fue identificada en itwanger paicoding 1.0.0/1.0.1/1.0.2/1.0.3. El elemento afectado es la función Save del archivo paicoding-web/src/main/java/com/github/paicoding/forum/web/common/image/rest/ImageRestController.java del componente Image Save Endpoint. Dicha manipulación del argumento img conduce a falsificación de petición del lado del servidor. El ataque puede ser lanzado remotamente. El exploit está disponible públicamente y podría ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en OpenClaw (CVE-2026-28363)
Fecha de publicación:
27/02/2026
Idioma:
Español
En OpenClaw antes de 2026.2.23, la validación de tools.exec.safeBins para sort podría ser eludida a través de abreviaturas de opciones largas de GNU (como --compress-prog) en modo de lista de permitidos, lo que llevaba a rutas de ejecución sin aprobación que estaban destinadas a requerir aprobación. Solo una cadena exacta como --compress-program era denegada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/02/2026

Vulnerabilidad en libvips (CVE-2026-3284)
Fecha de publicación:
27/02/2026
Idioma:
Español
Se encontró una vulnerabilidad en libvips 8.19.0. La función afectada es vips_extract_area_build del archivo libvips/conversion/extract.c. La manipulación del argumento extract_area resulta en desbordamiento de entero. El ataque requiere un enfoque local. El exploit se ha hecho público y podría ser utilizado. El parche se identifica como 24795bb3d19d84f7b6f5ed86451ad556c8f2fe70. Es aconsejable implementar un parche para corregir este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en berry-lang berry (CVE-2026-3285)
Fecha de publicación:
27/02/2026
Idioma:
Español
Se determinó una vulnerabilidad en berry-lang berry hasta la versión 1.1.0. El elemento afectado es la función scan_string del archivo src/be_lexer.c. Esta manipulación causa una lectura fuera de límites. El ataque requiere acceso local. El exploit ha sido divulgado públicamente y puede ser utilizado. Nombre del parche: 7149c59a39ba44feca261b12f06089f265fec176. Aplicar un parche es la acción recomendada para solucionar este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
27/02/2026

Vulnerabilidad en libvips (CVE-2026-3282)
Fecha de publicación:
27/02/2026
Idioma:
Español
Se ha encontrado una falla en libvips 8.19.0. Esta vulnerabilidad afecta a la función vips_unpremultiply_build del archivo libvips/conversion/unpremultiply.c. La ejecución de una manipulación del argumento alpha_band puede llevar a una lectura fuera de límites. El ataque debe ser lanzado localmente. El exploit ha sido publicado y puede ser usado. Este parche se llama 7215ead1e0cd7d3703cc4f5fca06d7d0f4c22b91. Se debe aplicar un parche para remediar este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades