Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en HummerRisk (CVE-2026-3067)
Fecha de publicación:
24/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en HummerRisk hasta la versión 1.5.0. El problema afecta a la función extractTarGZ/extractZip del archivo hummer-common/hummer-common-core/src/main/java/com/hummer/common/core/utils/CommandUtils.java del componente Extracción de Archivos. Si se manipula se puede provocar un salto de ruta. El ataque puede ser llevado a cabo de forma remota. El exploit ha sido divulgado al público y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en HummerRisk (CVE-2026-3066)
Fecha de publicación:
24/02/2026
Idioma:
Español
Se ha encontrado una falla en HummerRisk hasta la versión 1.5.0. Esta vulnerabilidad afecta a la función fixedCommand del archivo hummer-common/hummer-common-core/src/main/java/com/hummer/common/core/utils/PlatformUtils.java del componente Cloud Compliance Scanning. Si se ejecuta de forma manipulada se puede provocar un inyección de comandos. El ataque puede ejecutarse de forma remota. El exploit ha sido publicado y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en Pimcore (CVE-2026-27461)
Fecha de publicación:
24/02/2026
Idioma:
Español
Pimcore es una Plataforma de Gestión de Datos y Experiencias de Código Abierto. En versiones hasta las 11.5.14.1 y 12.3.2 incluidas, el parámetro de consulta filter en los endpoints de listado de dependencias se decodifica en JSON y el campo de valor se concatena directamente en cláusulas RLIKE sin sanitización o consultas parametrizadas. Para explotar este problema es preciso estar autenticado como administrador. Un atacante con acceso al panel de administrador puede extraer la base de datos completa, incluyendo los hashes de contraseña de otros usuarios administradores. La versión 12.3.3 contiene un parche.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en HummerRisk (CVE-2026-3064)
Fecha de publicación:
24/02/2026
Idioma:
Español
Se ha detectado una vulnerabilidad de seguridad en HummerRisk hasta 1.5.0; la cual afecta a alguna funcionalidad desconocida del archivo ResourceCreateService.java del componente Cloud Task Scheduler. Manipular el argumento regionId provoca una inyección de comandos. El ataque puede ser lanzado en remoto. El exploit ha sido divulgado públicamente y puede ser usado. El proveedor fue contactado con anterioridad sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en HummerRisk (CVE-2026-3065)
Fecha de publicación:
24/02/2026
Idioma:
Español
Se encontró una vulnerabilidad en HummerRisk hasta la versión 1.5.0. Esta afecta a la función CommandUtils.commonExecCmdWithResult del archivo CloudTaskService.java del componente Cloud Task Dry-run. Si se manipula el argumento fileName se puede producir una inyección de comandos. Es posible explotar el ataque en remoto. El exploit ahora es público y puede ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en a54552239 pearProjectApi (CVE-2026-3057)
Fecha de publicación:
24/02/2026
Idioma:
Español
Se ha descubierto una vulnerabilidad de seguridad en a54552239 pearProjectApi hasta la versión 2.8.10. Afecta a la función dateTotalForProject del archivo application/common/Model/Task.PHP del componente Interfaz de Backend. Si se manipula el argumento projectCode se puede provocar una inyección SQL. El ataque puede lanzarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/03/2026

Vulnerabilidad en Synology Presto Client (CVE-2026-3091)
Fecha de publicación:
24/02/2026
Idioma:
Español
Una vulnerabilidad de elemento de ruta de búsqueda no controlado en Synology Presto Cliente antes de 2.1.3-0672 permite a usuarios locales leer o escribir archivos arbitrarios durante la instalación al colocar una DLL maliciosa de antemano en el mismo directorio que el instalador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en ImageMagick (CVE-2026-26983)
Fecha de publicación:
24/02/2026
Idioma:
Español
ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, el intérprete de MSL falla al procesar un elemento `` no válido que provoca que utilice una imagen después de haber sido liberada. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en Craft (CVE-2026-27127)
Fecha de publicación:
24/02/2026
Idioma:
Español
Craft es un sistema de gestión de contenido (CMS). En las versiones 4.5.0-RC1 hasta la 4.16.18 y 5.0.0-RC1 hasta la 5.8.22, la validación de SSRF en la mutación GraphQL Asset de Craft CMS realiza la resolución DNS separadamente de la solicitud HTTP. Esta vulnerabilidad de Tiempo de Verificación-Tiempo de Uso (TOCTOU) permite ataques de reencuadernación de DNS, donde el servidor DNS de un atacante devuelve diferentes direcciones IP para la validación en comparación con la solicitud real. Esto es un bypass de la corrección de seguridad para CVE-2025-68437 que permite el acceso a todas las IP bloqueadas, no solo a los puntos finales IPv6. La explotación requiere permisos de esquema GraphQL para editar activos en el volumen `` y crear activos en el volumen ``. Estos permisos pueden ser otorgados a usuarios autenticados con acceso apropiado al esquema GraphQL y/o Esquema Público (si está mal configurado con permisos de escritura). Las versiones 4.16.19 y 5.8.23 parchean el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en Craft (CVE-2026-27126)
Fecha de publicación:
24/02/2026
Idioma:
Español
Craft es un sistema de gestión de contenido (CMS). En las versiones 4.5.0-RC1 a 4.16.18 y 5.0.0-RC1 a 5.8.22, existe una vulnerabilidad de cross-site scripting (XSS) almacenado en el componente 'editableTable.twig' al usar el tipo de columna 'html'. La aplicación no sanitiza la entrada, permitiendo a un atacante ejecutar JavaScript arbitrario cuando otro usuario ve una página con el campo de tabla malicioso. Para explotar la vulnerabilidad, un atacante debe tener una cuenta de administrador, y 'allowAdminChanges' debe estar habilitado en producción, lo cual va en contra de las recomendaciones de seguridad de Craft. Las versiones 4.16.19 y 5.8.23 parchean el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Craft (CVE-2026-27128)
Fecha de publicación:
24/02/2026
Idioma:
Español
Craft es un sistema de gestión de contenidos (CMS). En las versiones 4.5.0-RC1 a 4.16.18 y 5.0.0-RC1 a 5.8.22, existe una condición de carrera Time-of-Check-Time-of-Use (TOCTOU) en el servicio de validación de tokens de Craft CMS para tokens que establecen explícitamente un uso limitado. El método `getTokenRoute()` lee el recuento de uso de un token, verifica si está dentro de los límites y luego actualiza la base de datos en operaciones no atómicas separadas. Al enviar solicitudes concurrentes, un atacante puede usar un token de suplantación de un solo uso varias veces antes de que se complete la actualización de la base de datos. Para que esto funcione, un atacante necesita obtener una URL de suplantación de cuenta de usuario válida con un token no caducado por otros medios y explotar una condición de carrera mientras elude cualquier regla de limitación de velocidad existente. Para que esto sea una escalada de privilegios, la URL de suplantación debe incluir un token para una cuenta de usuario con más permisos que el usuario actual. Las versiones 4.16.19 y 5.8.23 aplican un parche al problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Alinto SOGo (CVE-2026-3054)
Fecha de publicación:
24/02/2026
Idioma:
Español
Se ha identificado una vulnerabilidad en Alinto SOGo 5.12.3/5.12.4. Esto afecta a una función desconocida. Manipular el argumento 'hint' puede provocar un cross-site scripting. El ataque puede ser iniciado en remoto. El exploit está disponible públicamente y podría ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/02/2026
Suscribirse a Vulnerabilidades