Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Benkeen (CVE-2025-70024)
Fecha de publicación:
11/03/2026
Idioma:
Español
Un problema relacionado con CWE-89: Neutralización Incorrecta de Elementos Especiales utilizados en un Comando SQL fue descubierto en benkeen generatedata 4.0.14.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/03/2026

Vulnerabilidad en oslabs-beta ThermaKube master (CVE-2025-70041)
Fecha de publicación:
11/03/2026
Idioma:
Español
Un problema relacionado con CWE-259: Uso de contraseña codificada fue descubierto en oslabs-beta ThermaKube master.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/03/2026

Vulnerabilidad en FileZ de Lenovo (CVE-2026-0520)
Fecha de publicación:
11/03/2026
Idioma:
Español
Una posible vulnerabilidad fue reportada en la aplicación Lenovo FileZ para Android que, bajo ciertas condiciones, podría permitir a un usuario local autenticado recuperar algunos datos sensibles almacenados en un archivo de registro.
Gravedad CVSS v4.0: BAJA
Última modificación:
12/03/2026

Vulnerabilidad en ThinkPads de Lenovo (CVE-2026-0940)
Fecha de publicación:
11/03/2026
Idioma:
Español
Una potencial vulnerabilidad de inicialización incorrecta fue reportada en la BIOS de algunos ThinkPads que podría permitir a un usuario local privilegiado modificar datos y ejecutar código arbitrario.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en Locker de LockerProject (CVE-2026-3951)
Fecha de publicación:
11/03/2026
Idioma:
Español
Se ha descubierto una vulnerabilidad de seguridad en LockerProject Locker 0.0.0/0.0.1/0.1.0. Afecta a la función authIsAwesome del archivo source-code/Locker-master/Ops/registry.js del componente Gestor de Respuesta de Errores. La manipulación del argumento ID resulta en cross-site scripting. El ataque puede lanzarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques. El proyecto fue informado del problema con antelación a través de un informe de incidencias, pero aún no ha respondido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en XAgent de OpenBMB (CVE-2026-3954)
Fecha de publicación:
11/03/2026
Idioma:
Español
Se ha identificado una debilidad en OpenBMB XAgent 1.0.0. Afectada por esta vulnerabilidad es la función workspace del archivo XAgentServer/application/routers/workspace.py. Esta manipulación del argumento file_name causa salto de ruta. El ataque puede ser iniciado remotamente. El exploit ha sido puesto a disposición del público y podría ser usado para ataques. El proyecto fue informado del problema tempranamente a través de un informe de incidencias pero aún no ha respondido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en libheif de strukturag (CVE-2026-3950)
Fecha de publicación:
11/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en strukturag libheif hasta la versión 1.21.2. Esto afecta a la función Track::load del archivo libheif/sequences/track.cc del componente stsz/stts. La manipulación conduce a una lectura fuera de límites. El ataque debe realizarse localmente. El exploit está disponible públicamente y podría ser utilizado. Aplicar un parche es la acción recomendada para solucionar este problema. El parche disponible es no oficial y aún no ha sido aprobado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en parse-server (CVE-2026-32234)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.10 y 8.6.36, un atacante con acceso a la clave maestra puede inyectar SQL malicioso a través de nombres de campo manipulados utilizados en restricciones de consulta cuando Parse Server está configurado con PostgreSQL como la base de datos. El nombre de campo en un operador de consulta $regex se pasa a PostgreSQL utilizando interpolación de cadenas no parametrizada, permitiendo al atacante manipular la consulta SQL. Si bien la clave maestra controla lo que se puede hacer a través de la capa de abstracción de Parse Server, esta inyección SQL omite Parse Server por completo y opera a nivel de base de datos. Esta vulnerabilidad solo afecta a las implementaciones de Parse Server que utilizan PostgreSQL. Esta vulnerabilidad está corregida en 9.6.0-alpha.10 y 8.6.36.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en parse-server (CVE-2026-32098)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.9 y 8.6.35, un atacante puede explotar las suscripciones de LiveQuery para inferir los valores de campos protegidos sin recibirlos directamente. Al suscribirse con una cláusula WHERE que hace referencia a un campo protegido (incluyendo a través de notación de puntos o $regex), el atacante puede observar si se entregan eventos de LiveQuery para objetos coincidentes. Esto crea un oráculo booleano que filtra valores de campos protegidos. El ataque afecta a cualquier clase que tenga tanto protectedFields configurados en Permisos a Nivel de Clase como LiveQuery habilitado. Esta vulnerabilidad está corregida en 9.6.0-alpha.9 y 8.6.35.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en PingPong de comppolicylab (CVE-2026-32097)
Fecha de publicación:
11/03/2026
Idioma:
Español
PingPong es una plataforma para usar modelos de lenguaje grandes (LLM) para la enseñanza y el aprendizaje. Antes de la versión 7.27.2, un usuario autenticado podría recuperar o eliminar archivos fuera del alcance de autorización previsto. Este problema podría resultar en la recuperación o eliminación de archivos privados, incluyendo archivos subidos por el usuario y archivos de salida generados por el modelo. La explotación requería autenticación y permiso para ver al menos un hilo para la recuperación, y autenticación y permiso para participar en al menos un hilo para la eliminación. Esta vulnerabilidad está corregida en la versión 7.27.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Plunk de useplunk (CVE-2026-32096)
Fecha de publicación:
11/03/2026
Idioma:
Español
Plunk es una plataforma de correo electrónico de código abierto construida sobre AWS SES. Antes de la 0.7.0, existía una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en el gestor de webhook de SNS. Un atacante no autenticado podría enviar una petición manipulada que causaba que el servidor realizara una petición HTTP GET saliente arbitraria a cualquier host accesible desde el servidor. Esta vulnerabilidad está corregida en la 0.7.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/03/2026

Vulnerabilidad en Plunk de useplunk (CVE-2026-32095)
Fecha de publicación:
11/03/2026
Idioma:
Español
Plunk es una plataforma de correo electrónico de código abierto construida sobre AWS SES. Antes de la versión 0.7.1, el punto final de carga de imágenes de Plunk aceptaba archivos SVG, que los navegadores tratan como documentos activos capaces de ejecutar JavaScript incrustado, creando una vulnerabilidad de XSS almacenado. Esta vulnerabilidad está corregida en la versión 0.7.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026
Suscribirse a Vulnerabilidades