Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Wekan (CVE-2026-30847)
Fecha de publicación:
06/03/2026
Idioma:
Español
Wekan es una herramienta kanban de código abierto construida con Meteor. En las versiones 8.31.0 a la 8.33, la publicación notificationUsers en Wekan publica documentos de usuario sin filtrar campos, lo que provoca que la llamada a ReactiveCache.getUsers() devuelva todos los campos, incluyendo datos altamente sensibles como hashes de contraseña bcrypt, tokens de inicio de sesión de sesión activa, tokens de verificación de correo electrónico, direcciones de correo electrónico completas y cualquier token OAuth almacenado. A diferencia de la auto-publicación predeterminada de Meteor, que elimina el campo services por seguridad, las publicaciones personalizadas devuelven todos los campos que contiene el cursor, lo que significa que todos los suscriptores reciben los documentos de usuario completos. Cualquier usuario autenticado que active esta publicación puede recolectar credenciales y tokens de sesión activa de otros usuarios, lo que permite el cracking de contraseñas, el secuestro de sesión y la toma de control total de la cuenta. Este problema ha sido solucionado en la versión 8.34.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
11/03/2026

Vulnerabilidad en Wekan (CVE-2026-30846)
Fecha de publicación:
06/03/2026
Idioma:
Español
Wekan es una herramienta kanban de código abierto construida con Meteor. En las versiones 8.31.0 a 8.33, la publicación globalwebhooks expone todas las integraciones de webhook globales —incluyendo campos sensibles de URL y token— sin realizar ninguna comprobación de autenticación en el lado del servidor. Aunque la suscripción se invoca normalmente desde la página de configuración de administrador, la publicación del lado del servidor no tiene control de acceso, lo que significa que cualquier cliente DDP, incluidos los no autenticados, puede suscribirse y recibir los datos. Esto permite a un atacante no autenticado recuperar URLs de webhook globales y tokens de autenticación, lo que podría permitir el uso no autorizado de esos webhooks y el acceso a servicios externos conectados. Este problema ha sido solucionado en la versión 8.34.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en Wekan (CVE-2026-30845)
Fecha de publicación:
06/03/2026
Idioma:
Español
Wekan es una herramienta kanban de código abierto construida con Meteor. En las versiones 8.31.0 a la 8.33, la publicación compuesta del tablero en Wekan publica todos los datos de integración de un tablero sin ningún filtrado de campos, exponiendo campos sensibles, incluyendo URLs de webhook y tokens de autenticación, a cualquier suscriptor. Dado que las publicaciones del tablero son accesibles a todos los miembros del tablero independientemente de su rol (incluyendo usuarios de solo lectura y solo comentarios), e incluso a clientes DDP no autenticados para tableros públicos, cualquier usuario que pueda acceder a un tablero puede recuperar sus credenciales de webhook. Esta fuga de tokens permite a los atacantes realizar solicitudes no autenticadas a los webhooks expuestos, lo que podría desencadenar acciones no autorizadas en servicios externos conectados. Este problema ha sido solucionado en la versión 8.34.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en Wekan (CVE-2026-30844)
Fecha de publicación:
06/03/2026
Idioma:
Español
Wekan es una herramienta kanban de código abierto construida con Meteor. Las versiones 8.32 y 8.33 son vulnerables a la falsificación de petición del lado del servidor (SSRF) a través de la carga de URL de adjuntos. Durante la importación de tableros en Wekan, las URL de adjuntos de datos JSON proporcionados por el usuario son obtenidas directamente por el servidor sin ninguna validación o filtrado de URL, afectando tanto a los flujos de importación de Wekan como de Trello. Los métodos parseActivities() y parseActions() extraen URL de adjuntos controladas por el usuario, las cuales son luego pasadas directamente a Attachments.load() para su descarga sin sanitización. Esta vulnerabilidad de falsificación de petición del lado del servidor (SSRF) permite a cualquier usuario autenticado hacer que el servidor emita peticiones HTTP arbitrarias, potencialmente accediendo a servicios de red internos como puntos finales de metadatos de instancias en la nube (exponiendo credenciales IAM), bases de datos internas y paneles de administración que de otro modo serían inalcanzables desde fuera de la red. Este problema ha sido solucionado en la versión 8.34.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
11/03/2026

Vulnerabilidad en Wekan (CVE-2026-30843)
Fecha de publicación:
06/03/2026
Idioma:
Español
Wekan es una herramienta kanban de código abierto construida con Meteor. Las versiones 8.32 y 8.33 tienen un problema crítico de Referencia Directa a Objeto Insegura (IDOR) que podría permitir a usuarios no autorizados modificar campos personalizados entre tableros a través de sus puntos finales de actualización de campos personalizados, lo que podría llevar a la manipulación no autorizada de datos. El punto final PUT /api/boards/:boardId/custom-fields/:customFieldId en Wekan valida que el usuario autenticado tiene acceso al boardId especificado, pero la subsiguiente actualización de la base de datos utiliza solo el _id del campo personalizado como filtro sin confirmar que el campo realmente pertenece a ese tablero. Esto significa que un atacante que posee cualquier tablero puede modificar campos personalizados en cualquier otro tablero al proporcionar un ID de campo personalizado externo, y la misma falla existe en los puntos finales POST, PUT y DELETE para elementos desplegables bajo campos personalizados. Los ID de campo personalizados requeridos se pueden obtener exportando un tablero (lo que solo necesita acceso de lectura), ya que el JSON exportado incluye los ID de todos los componentes del tablero. La verificación de autorización se realiza contra el recurso incorrecto, permitiendo la manipulación de campos personalizados entre tableros. Este problema ha sido solucionado en la versión 8.34.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
11/03/2026

Vulnerabilidad en bellard / quickjs (CVE-2025-69654)
Fecha de publicación:
06/03/2026
Idioma:
Español
Una entrada JavaScript manipulada, ejecutada con la versión QuickJS 2025-09-13, corregida en el commit fcd33c1afa7b3028531f53cd1190a3877454f6b3 (2025-12-11), el intérprete 'qjs' utilizando la opción '-m' y un límite de memoria bajo, puede causar una condición de agotamiento de memoria seguida de un fallo de aserción en JS_FreeRuntime (list_empty(&rt->gc_obj_list)) durante la limpieza del tiempo de ejecución. Aunque el motor informa un error OOM, posteriormente aborta con SIGABRT porque la lista de objetos GC no se libera completamente. Esto resulta en una denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

CVE-2026-3653
Fecha de publicación:
06/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
06/03/2026

Vulnerabilidad en immutable-js (CVE-2026-29063)
Fecha de publicación:
06/03/2026
Idioma:
Español
Immutable.js proporciona muchas estructuras de datos inmutables persistentes. Antes de las versiones 3.8.3, 4.3.7 y 5.1.5, la contaminación de prototipos es posible en immutable a través de las APIs mergeDeep(), mergeDeepWith(), merge(), Map.toJS() y Map.toObject(). Este problema ha sido parcheado en las versiones 3.8.3, 4.3.7 y 5.1.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en bellard / quickjs (CVE-2025-69653)
Fecha de publicación:
06/03/2026
Idioma:
Español
Una entrada JavaScript diseñada puede desencadenar un fallo de aserción interno en la versión de QuickJS 2025-09-13, corregido en el commit 1dbba8a88eaa40d15a8a9b70bb1a0b8fb5b552e6 (2025-12-11), en el archivo gc_decref_child en quickjs.c, cuando se ejecuta con el intérprete qjs usando la opción -m. Esto conduce a un aborto (SIGABRT) durante la recolección de basura y causa una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en GNU Binutils (CVE-2025-69652)
Fecha de publicación:
06/03/2026
Idioma:
Español
GNU Binutils hasta 2.46 readelf contiene una vulnerabilidad que conduce a una interrupción (SIGABRT) al procesar un binario ELF manipulado con información DWARF abbrev o de depuración malformada. Debido a una limpieza de estado incompleta en process_debug_info(), un estado debug_info_p inválido puede propagarse a las rutinas de análisis de atributos DWARF. Cuando ciertos atributos malformados resultan en una longitud de datos inesperada de cero, byte_get_little_endian() desencadena una interrupción fatal. No se observó evidencia de corrupción de memoria o ejecución de código; el impacto se limita a la denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en GNU Binutils (CVE-2025-69649)
Fecha de publicación:
06/03/2026
Idioma:
Español
GNU Binutils hasta la versión 2.46 readelf contiene una vulnerabilidad de desreferencia de puntero nulo al procesar un binario ELF manipulado con campos de encabezado malformados. Durante el procesamiento de reubicaciones, un puntero de sección inválido o nulo puede ser pasado a display_relocations(), lo que resulta en un fallo de segmentación (SIGSEGV) y terminación abrupta. No se observó evidencia de corrupción de memoria más allá de la desreferencia del puntero nulo, ni ninguna posibilidad de ejecución de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en GNU Binutils (CVE-2025-69650)
Fecha de publicación:
06/03/2026
Idioma:
Español
GNU Binutils hasta 2.46 readelf contiene una vulnerabilidad de doble liberación al procesar un binario ELF manipulado con datos de reubicación malformados. Durante el manejo de la reubicación GOT, dump_relocations puede retornar prematuramente sin inicializar el array all_relocations. Como resultado, process_got_section_contents() puede pasar un puntero r_symbol no inicializado a free(), lo que lleva a una doble liberación y termina el programa con SIGABRT. No se observó evidencia de corrupción de memoria explotable o ejecución de código; el impacto se limita a denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026
Suscribirse a Vulnerabilidades