Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Bedrock AgentCore Starter Toolkit de AWS (CVE-2026-4269)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una verificación de propiedad de S3 faltante en el Kit de Inicio Bedrock AgentCore antes de la versión v0.1.13 puede permitir a un actor remoto inyectar código durante el proceso de compilación, lo que lleva a la ejecución de código en el tiempo de ejecución de AgentCore. Este problema solo afecta a los usuarios del Kit de Inicio Bedrock AgentCore antes de la versión v0.1.13 que compilan o han compilado el Kit después del 24 de septiembre de 2025. Cualquier usuario en una versión >=v0.1.13, y cualquier usuario en versiones anteriores que compiló el kit antes del 24 de septiembre de 2025, no se ve afectado. Para remediar este problema, los clientes deben actualizar a la versión v0.1.13.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en CPython de Python Software Foundation (CVE-2026-4224)
Fecha de publicación:
16/03/2026
Idioma:
Español
Cuando un analizador Expat con un ElementDeclHandler registrado analiza una definición de tipo de documento en línea que contiene un modelo de contenido profundamente anidado, se produce un desbordamiento de pila C.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en AC8 de Tenda (CVE-2026-4253)
Fecha de publicación:
16/03/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en Tenda AC8 16.03.50.11. Esto afecta a la función route_set_user_policy_rule del archivo /cgi-bin/UploadCfg del componente Interfaz Web. La manipulación del argumento wans.policy.list1 resulta en inyección de comandos del sistema operativo. Es posible lanzar el ataque de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en AC8 de Tenda (CVE-2026-4254)
Fecha de publicación:
16/03/2026
Idioma:
Español
Se ha identificado una debilidad en Tenda AC8 hasta la versión 16.03.50.11. Esta vulnerabilidad afecta a la función doSystemCmd del archivo /goform/SysToolChangePwd del componente Endpoint HTTP. Esta manipulación del argumento local_2c causa un desbordamiento de búfer basado en pila. El ataque puede iniciarse remotamente. El exploit se ha puesto a disposición del público y podría usarse para ataques.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en CPython (CVE-2026-3644)
Fecha de publicación:
16/03/2026
Idioma:
Español
La solución para CVE-2026-0672, que rechazaba caracteres de control en http.cookies.Morsel, era incompleta. Los métodos Morsel.update(), el operador |= y las rutas de deserialización no fueron parcheados, permitiendo que los caracteres de control eludieran la validación de entrada. Además, BaseCookie.js_output() carecía de la validación de salida aplicada a BaseCookie.output().
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Hereta ETH-IMC408M de Shenzhen Hereta Technology Co., Ltd. (CVE-2026-29510)
Fecha de publicación:
16/03/2026
Idioma:
Español
Hereta ETH-IMC408M firmware versión 1.0.15 y anteriores contienen una vulnerabilidad de cross-site scripting almacenado que permite a atacantes autenticados inyectar JavaScript arbitrario manipulando el campo Device Name. Los atacantes pueden inyectar scripts maliciosos a través de la interfaz System Status que se ejecutan en los navegadores de los usuarios que ven la página de estado sin saneamiento de entrada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Hereta ETH-IMC408M de Shenzhen Hereta Technology Co., Ltd. (CVE-2026-29513)
Fecha de publicación:
16/03/2026
Idioma:
Español
Hereta ETH-IMC408M firmware versión 1.0.15 y anteriores contienen una vulnerabilidad de cross-site scripting almacenado que permite a atacantes autenticados inyectar JavaScript arbitrario manipulando el campo Device Location. Los atacantes pueden inyectar scripts maliciosos a través de la interfaz System Status que se ejecutan en los navegadores de los usuarios que ven la página de estado sin saneamiento de entrada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Hereta ETH-IMC408M de Shenzhen Hereta Technology Co., Ltd. (CVE-2026-29520)
Fecha de publicación:
16/03/2026
Idioma:
Español
El firmware Hereta ETH-IMC408M versión 1.0.15 y anteriores contienen una vulnerabilidad de cross-site scripting reflejado en la función de ping de Diagnóstico de Red que permite a los atacantes ejecutar JavaScript arbitrario. Los atacantes pueden crear enlaces maliciosos con cargas útiles de script inyectadas en el parámetro ping_ipaddr para comprometer sesiones de administrador autenticadas cuando se visitan los enlaces.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Hereta ETH-IMC408M de Shenzhen Hereta Technology Co., Ltd. (CVE-2026-29521)
Fecha de publicación:
16/03/2026
Idioma:
Español
Hereta ETH-IMC408M firmware versión 1.0.15 y anteriores contienen una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes modificar la configuración del dispositivo explotando la falta de protecciones CSRF en setup.cgi. Los atacantes pueden alojar páginas maliciosas que envían peticiones falsificadas utilizando credenciales de autenticación básica HTTP incluidas automáticamente para añadir cuentas RADIUS, alterar la configuración de red o activar diagnósticos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en authlib (CVE-2026-27962)
Fecha de publicación:
16/03/2026
Idioma:
Español
Authlib es una biblioteca de Python que construye servidores OAuth y OpenID Connect. Antes de la versión 1.6.9, una vulnerabilidad de inyección de encabezado JWK en la implementación JWS de authlib permite a un atacante no autenticado falsificar tokens JWT arbitrarios que pasan la verificación de firma. Cuando se pasa key=None a cualquier función de deserialización JWS, la biblioteca extrae y utiliza la clave criptográfica incrustada en el campo de encabezado jwk del JWT controlado por el atacante. Un atacante puede firmar un token con su propia clave privada, incrustar la clave pública correspondiente en el encabezado y hacer que el servidor acepte el token falsificado como criptográficamente válido — eludiendo la autenticación y la autorización por completo. Este problema ha sido parcheado en la versión 1.6.9.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/03/2026

Vulnerabilidad en authlib (CVE-2026-28490)
Fecha de publicación:
16/03/2026
Idioma:
Español
Authlib es una biblioteca Python que construye servidores OAuth y OpenID Connect. Antes de la versión 1.6.9, se identificó una vulnerabilidad de oráculo de relleno criptográfico en la biblioteca Python Authlib relacionada con la implementación del algoritmo de gestión de claves RSA1_5 de JSON Web Encryption (JWE). Authlib registra RSA1_5 en su registro de algoritmos predeterminado sin requerir una aceptación explícita, y destruye activamente la mitigación de tiempo constante de Bleichenbacher que la biblioteca de criptografía subyacente implementa correctamente. Este problema ha sido parcheado en la versión 1.6.9.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en authlib (CVE-2026-28498)
Fecha de publicación:
16/03/2026
Idioma:
Español
Authlib es una biblioteca Python que construye servidores OAuth y OpenID Connect. Antes de la versión 1.6.9, se identificó una vulnerabilidad a nivel de biblioteca en la biblioteca Python Authlib con respecto a la validación de los tokens de ID de OpenID Connect (OIDC). Específicamente, la lógica interna de verificación de hash (_verify_hash) responsable de validar las reclamaciones at_hash (Hash de Token de Acceso) y c_hash (Hash de Código de Autorización) exhibe un comportamiento fail-open al encontrar un algoritmo criptográfico no compatible o desconocido. Esta falla permite a un atacante eludir las protecciones de integridad obligatorias al suministrar un token de ID falsificado con un parámetro de encabezado alg deliberadamente no reconocido. La biblioteca intercepta el estado no compatible y devuelve silenciosamente True (validación aprobada), violando inherentemente los principios fundamentales de diseño criptográfico y las especificaciones directas de OIDC. Este problema ha sido parcheado en la versión 1.6.9.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026
Suscribirse a Vulnerabilidades