Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenClaw (CVE-2026-28463)
Fecha de publicación:
05/03/2026
Idioma:
Español
La validación de la lista de permitidos de aprobaciones de ejecución de OpenClaw comprueba los tokens argv pre-expansión, pero la ejecución utiliza la expansión real del shell, permitiendo que binarios seguros como head, tail o grep lean archivos locales arbitrarios a través de patrones glob o variables de entorno. Los llamadores autorizados o los ataques de inyección de prompt pueden exploit esto para divulgar archivos legibles por el proceso de gateway o de nodo cuando la ejecución del host está habilitada en modo de lista de permitidos.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en voice-call de OpenClaw (CVE-2026-28465)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones del plugin de llamadas de voz de OpenClaw anteriores a la 2026.2.3 contienen una vulnerabilidad de autenticación impropia en la verificación de webhooks que permite a atacantes remotos eludir la verificación al suministrar encabezados reenviados no confiables. Los atacantes pueden falsificar eventos de webhook manipulando los encabezados Forwarded o X-Forwarded-* en configuraciones de proxy inverso que confían implícitamente en estos encabezados.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28458)
Fecha de publicación:
05/03/2026
Idioma:
Español
La versión 2026.1.20 de OpenClaw anterior a la 2026.2.1 contiene una vulnerabilidad en el endpoint WebSocket /cdp del Browser Relay (la extensión debe estar instalada y habilitada) en el que no requiere tokens de autenticación, permitiendo que los sitios web se conecten a través de loopback y accedan a datos sensibles. Los atacantes pueden explotar esto conectándose a ws://127.0.0.1:18792/cdp para robar cookies de sesión y ejecutar JavaScript en otras pestañas del navegador.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28462)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.13 contienen una vulnerabilidad en la API de control del navegador en la que acepta rutas de salida proporcionadas por el usuario para archivos de rastreo y descarga sin restringir consistentemente las escrituras a directorios temporales. Atacantes con acceso a la API pueden explotar el salto de ruta en los endpoints POST /trace/stop, POST /wait/download y POST /download para escribir archivos fuera de las raíces temporales previstas.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28459)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.12 no validan el parámetro de ruta sessionFile, lo que permite a los clientes de pasarela autenticados escribir datos de transcripción en ubicaciones arbitrarias del sistema de archivos del host. Los atacantes pueden proporcionar una ruta de sessionFile fuera del directorio de sesiones para crear archivos y añadir datos repetidamente, lo que podría causar corrupción de la configuración o denegación de servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28457)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.14 contienen una vulnerabilidad de salto de ruta en la duplicación de habilidades de sandbox (debe estar habilitada) que utiliza el parámetro 'name' del 'frontmatter' de la habilidad sin sanitizar al copiar habilidades en el espacio de trabajo de la sandbox. Los atacantes que proporcionan un paquete de habilidad manipulado con secuencias de salto como ../ o rutas absolutas en el campo 'name' pueden escribir archivos fuera del directorio raíz del espacio de trabajo de la sandbox.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28456)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw 2026.1.5 anteriores a la 2026.2.14 contienen una vulnerabilidad en el Gateway en la que no restringe suficientemente las rutas de módulos de 'hook' configuradas antes de pasarlas a 'import()' dinámico, lo que permite la ejecución de código. Un atacante con acceso de modificación a la configuración del 'gateway' puede cargar y ejecutar módulos locales no deseados en el proceso de Node.js.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28454)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.2 no validan los secretos de webhook en el modo de webhook de Telegram (debe estar habilitado), permitiendo solicitudes HTTP POST no autenticadas al endpoint del webhook que confían en cargas útiles JSON controladas por el atacante. Los atacantes remotos pueden falsificar actualizaciones de Telegram suplantando los campos message.from.id y chat.id para eludir las listas blancas de remitentes y ejecutar comandos de bot privilegiados.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28453)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.14 no validan las rutas de entrada de archivos TAR durante la extracción, permitiendo que secuencias de salto de ruta escriban archivos fuera del directorio previsto. Los atacantes pueden crear archivos maliciosos con secuencias de salto de ruta como ../../ para escribir archivos fuera de los límites de extracción, lo que podría permitir la manipulación de la configuración y la ejecución de código.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28452)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.14 contienen una vulnerabilidad de denegación de servicio en la función extractArchive dentro de src/infra/archive.ts que permite a los atacantes consumir recursos excesivos de CPU, memoria y disco a través de archivos ZIP y TAR de alta expansión. Los atacantes remotos pueden desencadenar el agotamiento de recursos al proporcionar archivos comprimidos maliciosos durante las operaciones de instalación o actualización, causando degradación del servicio o indisponibilidad del sistema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28450)
Fecha de publicación:
05/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a 2026.2.12 con el plugin opcional de Nostr habilitado exponen puntos finales HTTP sin autenticación en /api/channels/nostr/:accountId/profile y /api/channels/nostr/:accountId/profile/import que permiten leer y modificar perfiles de Nostr sin autenticación de la pasarela. Atacantes remotos pueden explotar estos puntos finales para leer datos de perfil sensibles, modificar perfiles de Nostr, persistir cambios maliciosos en la configuración de la pasarela y publicar eventos Nostr firmados utilizando la clave privada del bot cuando el puerto HTTP de la pasarela es accesible más allá de localhost.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28451)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.14 contienen vulnerabilidades de falsificación de petición del lado del servidor en la extensión de Feishu que permiten a los atacantes obtener URLs remotas controladas por el atacante sin protecciones SSRF a través de la función sendMediaFeishu y el procesamiento de imágenes markdown. Los atacantes pueden influir en las llamadas a herramientas mediante manipulación directa o inyección de prompts para activar peticiones a servicios internos y volver a subir las respuestas como medios de Feishu.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2026
Suscribirse a Vulnerabilidades