Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-27635
Fecha de publicación:
26/02/2026
Idioma:
Español
Manyfold es una aplicación web de código abierto y autoalojada para gestionar una colección de modelos 3D, particularmente enfocada en la impresión 3D. Antes de la versión 0.133.0, cuando la generación de renderizados de modelos está habilitada, un usuario autenticado puede lograr RCE al subir un archivo ZIP que contiene un archivo con un metacaracter de shell en su nombre. El nombre del archivo llega a una llamada de backtick de Ruby sin sanear. La versión 0.133.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

CVE-2026-27709
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y anteriores a las versiones 6.0.1638.0 y 6.5.1638.0, el analizador de 'Aplicación de Archivo Único .NET' de NanaZip tiene una vulnerabilidad de lectura fuera de límites en el análisis del manifiesto. Un paquete manipulado puede proporcionar una 'RelativePathLength' malformada de modo que el analizador construye un 'std::string' a partir de memoria más allá de 'HeaderBuffer', lo que lleva a un fallo y a una posible divulgación de memoria en proceso. Las versiones 6.0.1638.0 y 6.5.1638.0 solucionan el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

CVE-2026-27710
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y anterior a las versiones 6.0.1638.0 y 6.5.1638.0, existe una vulnerabilidad de denegación de servicio en el analizador de 'aplicación de archivo único .NET' de NanaZip. Un paquete manipulado puede forzar un desbordamiento negativo de enteros en el cálculo del tamaño de la cabecera y desencadenar un intento de asignación de memoria ilimitada durante la apertura del archivo. Las versiones 6.0.1638.0 y 6.5.1638.0 corrigen el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

CVE-2026-27711
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y antes de las versiones 6.0.1638.0 y 6.5.1638.0, una vulnerabilidad de corrupción de memoria en el analizador UFS de NanaZip permite que un archivo '.ufs/.ufs2/.img' manipulado active un acceso a memoria fuera de límites durante la apertura/listado del archivo. El error es accesible a través del flujo normal de apertura de archivos por parte del usuario y puede causar el bloqueo del proceso, el cuelgue y una corrupción de pila potencialmente explotable. Las versiones 6.0.1638.0 y 6.5.1638.0 solucionan el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

CVE-2026-26186
Fecha de publicación:
26/02/2026
Idioma:
Español
Fleet es un software de gestión de dispositivos de código abierto. Una vulnerabilidad de inyección SQL en versiones anteriores a la 4.80.1 permitía a usuarios autenticados inyectar expresiones SQL arbitrarias a través del parámetro de consulta `order_key`. Debido al uso inseguro de `goqu.I()` al construir la cláusula `ORDER BY`, una entrada especialmente diseñada podría evadir el entrecomillado de identificadores y ser interpretada como SQL ejecutable. Un atacante autenticado con acceso al endpoint afectado podría inyectar expresiones SQL en la consulta MySQL subyacente. Aunque la inyección ocurre en un contexto `ORDER BY`, es suficiente para habilitar técnicas de inyección SQL ciega que pueden divulgar información de la base de datos a través de expresiones condicionales que afectan el orden de los resultados. Las expresiones diseñadas también pueden causar una computación excesiva o fallos en las consultas, lo que podría llevar a un rendimiento degradado o a una denegación de servicio. No se demostró evidencia directa de modificación de datos fiable o ejecución de consultas apiladas. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los usuarios deben restringir el acceso al endpoint afectado solo a roles de confianza y asegurarse de que cualquier parámetro de ordenación o columna proporcionado por el usuario esté estrictamente en una lista blanca en la capa de aplicación o proxy.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

CVE-2026-27630
Fecha de publicación:
26/02/2026
Idioma:
Español
TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Las versiones anteriores a la 2.02 son vulnerables a un ataque de denegación de servicio (DoS) conocido como Slowloris. El servidor genera un nuevo hilo del sistema operativo para cada conexión entrante sin imponer un límite máximo de concurrencia o un tiempo de espera de solicitud adecuado. Un atacante remoto no autenticado puede agotar los límites de concurrencia del servidor y la memoria abriendo numerosas conexiones y enviando datos excepcionalmente lento (por ejemplo, 1 byte cada pocos minutos). Cualquiera que aloje servicios usando TinyWeb se ve afectado. La versión 2.02 corrige el problema. El parche introduce un límite 'CMaxConnections' (establecido en 512) y un tiempo de espera de inactividad 'CConnectionTimeoutSecs' (establecido en 30 segundos). Como solución alternativa temporal si la actualización no es posible de inmediato, considere colocar el servidor detrás de un proxy inverso robusto o un cortafuegos de aplicaciones web (WAF) como nginx, HAProxy o Cloudflare, configurado para almacenar en búfer las solicitudes incompletas y aplicar agresivamente los límites y tiempos de espera de conexión.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/02/2026

CVE-2026-27497
Fecha de publicación:
25/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.10.1, 2.9.3 y 1.123.22, un usuario autenticado con permiso para crear o modificar flujos de trabajo podría aprovechar el modo de consulta SQL del nodo Merge para ejecutar código arbitrario y escribir archivos arbitrarios en el servidor n8n. Los problemas se han solucionado en las versiones de n8n 2.10.1, 2.9.3 y 1.123.22. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar todas las vulnerabilidades conocidas. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales. Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o deshabilitar el nodo Merge añadiendo 'n8n-nodes-base.merge' a la variable de entorno 'NODES_EXCLUDE'. Estas soluciones provisionales no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/02/2026

CVE-2026-27498
Fecha de publicación:
25/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.2.0 y 1.123.8, un usuario autenticado con permiso para crear o modificar flujos de trabajo podía encadenar el nodo Read/Write Files from Disk con operaciones git para lograr la ejecución remota de código. Al escribir en archivos de configuración específicos y luego activar una operación git, el atacante podía ejecutar comandos de shell arbitrarios en el host de n8n. El problema ha sido solucionado en las versiones 2.2.0 y 1.123.8 de n8n. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales. Limite los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o deshabilite el nodo Read/Write Files from Disk añadiendo 'n8n-nodes-base.readWriteFile' a la variable de entorno 'NODES_EXCLUDE'. Estas soluciones provisionales no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/02/2026

CVE-2026-27577
Fecha de publicación:
25/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.10.1, 2.9.3 y 1.123.22, se han identificado y parcheado exploits adicionales en la evaluación de expresiones de n8n tras CVE-2025-68613. Un usuario autenticado con permiso para crear o modificar flujos de trabajo podría abusar de expresiones manipuladas en los parámetros del flujo de trabajo para desencadenar la ejecución no intencionada de comandos del sistema en el host que ejecuta n8n. Los problemas han sido solucionados en las versiones de n8n 2.10.1, 2.9.3 y 1.123.22. Los usuarios deberían actualizar a una de estas versiones o posteriores para remediar todas las vulnerabilidades conocidas. Si la actualización no es posible de inmediato, los administradores deberían considerar las siguientes mitigaciones temporales. Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o desplegar n8n en un entorno endurecido con privilegios de sistema operativo y acceso a la red restringidos para reducir el impacto de una posible explotación. Estas soluciones provisionales no remedian completamente el riesgo y solo deberían usarse como medidas de mitigación a corto plazo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/02/2026

CVE-2026-27578
Fecha de publicación:
25/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.10.1, 2.9.3 y 1.123.22, un usuario autenticado con permiso para crear o modificar flujos de trabajo podía inyectar scripts arbitrarios en páginas renderizadas por la aplicación n8n utilizando diferentes técnicas en varios nodos (nodo Form Trigger, nodo Chat Trigger, nodo Send & Wait, nodo Webhook y nodo Chat). Los scripts inyectados por un flujo de trabajo malicioso se ejecutan en el navegador de cualquier usuario que visite la página afectada, lo que permite el secuestro de sesión y la toma de control de cuentas. Los problemas se han solucionado en las versiones de n8n 2.10.1 y 1.123.21. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales. Limite los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o deshabilite el nodo Webhook añadiendo 'n8n-nodes-base.webhook' a la variable de entorno 'NODES_EXCLUDE'. Estas soluciones provisionales no remedian completamente el riesgo y solo deben utilizarse como medidas de mitigación a corto plazo.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

CVE-2026-27613
Fecha de publicación:
25/02/2026
Idioma:
Español
TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Una vulnerabilidad en versiones anteriores a la 2.01 permite a atacantes remotos no autenticados eludir los controles de seguridad de parámetros CGI del servidor web. Dependiendo de la configuración del servidor y del ejecutable CGI específico en uso, el impacto es la divulgación de código fuente o la ejecución remota de código (RCE). Cualquiera que aloje scripts CGI (particularmente lenguajes interpretados como PHP) usando versiones vulnerables de TinyWeb está afectado. El problema ha sido parcheado en la versión 2.01. Si la actualización no es posible de inmediato, asegúrese de que `STRICT_CGI_PARAMS` esté habilitado (está definido por defecto en `define.inc`) y/o no utilice ejecutables CGI que acepten de forma nativa indicadores de línea de comandos peligrosos (como `php-cgi.exe`). Si aloja PHP, considere colocar el servidor detrás de un cortafuegos de aplicaciones web (WAF) que bloquee explícitamente los parámetros de cadena de consulta de URL que comienzan con un guion (`-`) o contienen comillas dobles codificadas (`%22`).
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/02/2026

CVE-2026-3209
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en fosrl Pangolin hasta 1.15.4-s.3. Esto afecta a la función verifyRoleAccess/verifyApiKeyRoleAccess del componente Gestor de Roles. La manipulación conduce a controles de acceso inadecuados. La explotación remota del ataque es posible. El exploit ha sido revelado al público y puede ser utilizado. Actualizar a la versión 1.15.4-s.4 mitiga este problema. El identificador del parche es 5e37c4e85fae68e756be5019a28ca903b161fdd5. Se aconseja actualizar el componente afectado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/02/2026
Suscribirse a Vulnerabilidades