Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-28806
Fecha de publicación:
10/03/2026
Idioma:
Español
Vulnerabilidad de autorización indebida en nerves-hub nerves_hub_web permite el control de dispositivos entre organizaciones a través de acciones masivas de dispositivos y la API de actualización de dispositivos.<br /> <br /> La falta de comprobaciones de autorización en los puntos finales de las acciones masivas de dispositivos y la API de actualización de dispositivos permite a los usuarios autenticados dirigir dispositivos que pertenecen a otras organizaciones y realizar acciones fuera de su nivel de privilegio.<br /> <br /> Un atacante puede seleccionar dispositivos fuera de su organización manipulando los identificadores de los dispositivos y realizar acciones de gestión sobre ellos, como moverlos a productos que controlan. Esto puede permitir a los atacantes interferir con las actualizaciones de firmware, acceder a la funcionalidad del dispositivo expuesta por la plataforma o interrumpir la conectividad del dispositivo.<br /> <br /> En entornos donde características adicionales como el acceso a la consola remota están habilitadas, esto podría llevar a un compromiso total de los dispositivos afectados.<br /> <br /> Este problema afecta a nerves_hub_web: desde la versión 1.0.0 anterior a la 2.4.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
10/03/2026

CVE-2026-28807
Fecha de publicación:
10/03/2026
Idioma:
Español
Vulnerabilidad de Limitación Inadecuada de un Nombre de Ruta a un Directorio Restringido (&amp;#39;Salto de Ruta&amp;#39;) en gleam-wisp wisp permite la lectura arbitraria de archivos mediante salto de ruta codificado en porcentaje.<br /> <br /> La función wisp.serve_static es vulnerable a salto de ruta porque la sanitización se ejecuta antes de la decodificación de porcentaje. La secuencia codificada %2e%2e pasa por string.replace sin cambios, luego uri.percent_decode la convierte a .., que el sistema operativo resuelve como salto de directorio cuando se lee el archivo.<br /> <br /> Un atacante no autenticado puede leer cualquier archivo legible por el proceso de la aplicación en una única solicitud HTTP, incluyendo código fuente de la aplicación, archivos de configuración, secretos y archivos del sistema.<br /> <br /> Este problema afecta a wisp: desde 2.1.1 antes de 2.2.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/03/2026

CVE-2026-31812
Fecha de publicación:
10/03/2026
Idioma:
Español
Quinn es una implementación pure-Rust, compatible con async, del protocolo de transporte QUIC del IETF. Antes de la 0.11.14, un atacante remoto no autenticado puede desencadenar una denegación de servicio en aplicaciones que utilizan versiones vulnerables de quinn al enviar un paquete QUIC Initial manipulado que contiene parámetros de transporte QUIC malformados. En la lógica de análisis de quinn-proto, los varints controlados por el atacante se decodifican con unwrap(), por lo que las codificaciones truncadas causan Err(UnexpectedEnd) y pánico. Esto es alcanzable a través de la red con un solo paquete y sin confianza o autenticación previa. Esta vulnerabilidad está corregida en la versión 0.11.14.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/03/2026

CVE-2026-27220
Fecha de publicación:
10/03/2026
Idioma:
Español
Las versiones de Acrobat Reader 24.001.30307, 24.001.30308, 25.001.21265 y anteriores están afectadas por una vulnerabilidad de Uso Después de Liberar que podría resultar en ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere interacción del usuario en el sentido de que una víctima debe abrir un archivo malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

CVE-2026-31807
Fecha de publicación:
10/03/2026
Idioma:
Español
SiYuan es un sistema de gestión del conocimiento personal. Antes de la versión 3.5.10, el limpiador SVG de SiYuan (SanitizeSVG) bloquea los elementos peligrosos (
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/03/2026

CVE-2026-31808
Fecha de publicación:
10/03/2026
Idioma:
Español
file-type detecta el tipo de archivo de un archivo, flujo o datos. Antes de 21.3.1, existe una vulnerabilidad de denegación de servicio en el analizador de detección de tipo de archivo ASF (WMV/WMA). Al analizar una entrada manipulada donde un subencabezado ASF tiene un campo de tamaño de cero, el analizador entra en un bucle infinito. El valor de la carga útil se vuelve negativo (-24), haciendo que tokenizer.ignore(payload) mueva la posición de lectura hacia atrás, por lo que el mismo subencabezado se lee repetidamente para siempre. Cualquier aplicación que utiliza file-type para detectar el tipo de entrada no confiable/controlada por el atacante se ve afectada. Un atacante puede paralizar el bucle de eventos de Node.js con una carga útil de 55 bytes. Corregido en la versión 21.3.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2026

CVE-2026-31809
Fecha de publicación:
10/03/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Antes de la versión 3.5.10, el saneador de SVG de SiYuan (SanitizeSVG) verifica los atributos href en busca del prefijo javascript: utilizando strings.HasPrefix(). Sin embargo, la inserción de caracteres de tabulación ASCII ( ), nueva línea (<br /> ) o retorno de carro (<br /> ) dentro de la cadena javascript: elude esta verificación de prefijo. Los navegadores eliminan estos caracteres según la especificación de URL de WHATWG antes de analizar el esquema de URL, por lo que el JavaScript aún se ejecuta. Esto permite a un atacante inyectar JavaScript ejecutable en el endpoint no autenticado /API/icon/getDynamicIcon, creando un XSS reflejado. Este es un segundo bypass de la corrección para CVE-2026-29183 (corregido en la v3.5.9). Esta vulnerabilidad se corrige en la versión 3.5.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/03/2026

CVE-2026-30967
Fecha de publicación:
10/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.5.2-alpha.9. y 8.6.22, el adaptador de autenticación OAuth2, cuando se configura sin la opción useridField, solo verifica que un token está activo a través del endpoint de introspección de tokens del proveedor, pero no verifica que el token pertenezca al usuario identificado por authData.id. Un atacante con cualquier token OAuth2 válido del mismo proveedor puede autenticarse como cualquier otro usuario. Esto afecta a cualquier despliegue de Parse Server que utiliza el adaptador de autenticación OAuth2 genérico (configurado con oauth2: true) sin establecer la opción useridField. Esta vulnerabilidad está corregida en 9.5.2-alpha.9. y 8.6.22.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/03/2026

CVE-2026-30972
Fecha de publicación:
10/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.5.2-alpha.10 y 8.6.23, el middleware de limitación de tasa de Parse Server se aplica en la capa de middleware de Express, pero el endpoint de solicitudes por lotes (/batch) procesa sub-solicitudes internamente enrutándolas directamente a través del router Promise, eludiendo el middleware de Express, incluida la limitación de tasa. Un atacante puede agrupar múltiples solicitudes dirigidas a un endpoint con limitación de tasa en una única solicitud por lotes para eludir el límite de tasa configurado. Cualquier despliegue de Parse Server que dependa de la función de limitación de tasa incorporada se ve afectado. Esta vulnerabilidad está corregida en 9.5.2-alpha.10 y 8.6.23.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/03/2026

CVE-2026-31800
Fecha de publicación:
10/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.5.2-alpha.12 y 8.6.25, las clases internas _GraphQLConfig y _Audience podían ser leídas, modificadas y eliminadas a través de las rutas genéricas de la API REST /classes/_GraphQLConfig y /classes/_Audience sin autenticación de clave maestra. Esto elude la aplicación de la clave maestra que existe en los endpoints dedicados /graphql-config y /push_audiences. Un atacante puede leer, modificar y eliminar la configuración de GraphQL y los datos de audiencia de push. Esta vulnerabilidad está corregida en 9.5.2-alpha.12 y 8.6.25.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/03/2026

CVE-2026-31801
Fecha de publicación:
10/03/2026
Idioma:
Español
zot es un registro de imágenes/artefactos de contenedores basado en la Especificación de Distribución de Open Container Initiative. Desde la versión 1.3.0 hasta la 2.1.14, el middleware de autorización dist-spec de zot infiere la acción requerida para PUT /v2/{name}/manifests/{reference} como &amp;#39;crear&amp;#39; por defecto, y solo cambia a &amp;#39;actualizar&amp;#39; cuando la etiqueta ya existe y reference != &amp;#39;latest&amp;#39;. Como resultado, cuando &amp;#39;latest&amp;#39; ya existe, un usuario al que se le permite crear (pero no se le permite actualizar) aún puede pasar la verificación de autorización para un intento de sobrescritura de &amp;#39;latest&amp;#39;. Esta vulnerabilidad se corrige en la versión 2.1.15.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

CVE-2026-30951
Fecha de publicación:
10/03/2026
Idioma:
Español
Sequelize es una herramienta ORM para Node.js. Antes de la 6.37.8, existe una inyección SQL mediante un tipo de conversión (cast) sin escapar en el procesamiento de cláusulas WHERE de JSON/JSONB. La función _traverseJSON() divide las claves de ruta JSON en :: para extraer un tipo de conversión (cast), el cual se interpola directamente en el SQL CAST(... AS ). Un atacante que controla las claves de objetos JSON puede inyectar SQL arbitrario y exfiltrar datos de cualquier tabla. Esta vulnerabilidad está corregida en la versión 6.37.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026
Suscribirse a Vulnerabilidades