Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Hereta ETH-IMC408M de Shenzhen Hereta Technology Co., Ltd. (CVE-2026-29520)
Fecha de publicación:
16/03/2026
Idioma:
Español
El firmware Hereta ETH-IMC408M versión 1.0.15 y anteriores contienen una vulnerabilidad de cross-site scripting reflejado en la función de ping de Diagnóstico de Red que permite a los atacantes ejecutar JavaScript arbitrario. Los atacantes pueden crear enlaces maliciosos con cargas útiles de script inyectadas en el parámetro ping_ipaddr para comprometer sesiones de administrador autenticadas cuando se visitan los enlaces.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Hereta ETH-IMC408M de Shenzhen Hereta Technology Co., Ltd. (CVE-2026-29521)
Fecha de publicación:
16/03/2026
Idioma:
Español
Hereta ETH-IMC408M firmware versión 1.0.15 y anteriores contienen una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes modificar la configuración del dispositivo explotando la falta de protecciones CSRF en setup.cgi. Los atacantes pueden alojar páginas maliciosas que envían peticiones falsificadas utilizando credenciales de autenticación básica HTTP incluidas automáticamente para añadir cuentas RADIUS, alterar la configuración de red o activar diagnósticos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en authlib (CVE-2026-27962)
Fecha de publicación:
16/03/2026
Idioma:
Español
Authlib es una biblioteca de Python que construye servidores OAuth y OpenID Connect. Antes de la versión 1.6.9, una vulnerabilidad de inyección de encabezado JWK en la implementación JWS de authlib permite a un atacante no autenticado falsificar tokens JWT arbitrarios que pasan la verificación de firma. Cuando se pasa key=None a cualquier función de deserialización JWS, la biblioteca extrae y utiliza la clave criptográfica incrustada en el campo de encabezado jwk del JWT controlado por el atacante. Un atacante puede firmar un token con su propia clave privada, incrustar la clave pública correspondiente en el encabezado y hacer que el servidor acepte el token falsificado como criptográficamente válido — eludiendo la autenticación y la autorización por completo. Este problema ha sido parcheado en la versión 1.6.9.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/03/2026

Vulnerabilidad en authlib (CVE-2026-28490)
Fecha de publicación:
16/03/2026
Idioma:
Español
Authlib es una biblioteca Python que construye servidores OAuth y OpenID Connect. Antes de la versión 1.6.9, se identificó una vulnerabilidad de oráculo de relleno criptográfico en la biblioteca Python Authlib relacionada con la implementación del algoritmo de gestión de claves RSA1_5 de JSON Web Encryption (JWE). Authlib registra RSA1_5 en su registro de algoritmos predeterminado sin requerir una aceptación explícita, y destruye activamente la mitigación de tiempo constante de Bleichenbacher que la biblioteca de criptografía subyacente implementa correctamente. Este problema ha sido parcheado en la versión 1.6.9.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en authlib (CVE-2026-28498)
Fecha de publicación:
16/03/2026
Idioma:
Español
Authlib es una biblioteca Python que construye servidores OAuth y OpenID Connect. Antes de la versión 1.6.9, se identificó una vulnerabilidad a nivel de biblioteca en la biblioteca Python Authlib con respecto a la validación de los tokens de ID de OpenID Connect (OIDC). Específicamente, la lógica interna de verificación de hash (_verify_hash) responsable de validar las reclamaciones at_hash (Hash de Token de Acceso) y c_hash (Hash de Código de Autorización) exhibe un comportamiento fail-open al encontrar un algoritmo criptográfico no compatible o desconocido. Esta falla permite a un atacante eludir las protecciones de integridad obligatorias al suministrar un token de ID falsificado con un parámetro de encabezado alg deliberadamente no reconocido. La biblioteca intercepta el estado no compatible y devuelve silenciosamente True (validación aprobada), violando inherentemente los principios fundamentales de diseño criptográfico y las especificaciones directas de OIDC. Este problema ha sido parcheado en la versión 1.6.9.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en fields de pluginsGLPI (CVE-2026-23489)
Fecha de publicación:
16/03/2026
Idioma:
Español
Fields es un plugin de GLPI que permite a los usuarios añadir campos personalizados en los formularios de elementos de GLPI. Antes de la versión 1.23.3, es posible ejecutar código PHP arbitrario por parte de usuarios que tienen permiso para crear desplegables. Este problema ha sido parcheado en la versión 1.23.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/03/2026

Vulnerabilidad en ThinOS 10 de Dell (CVE-2026-23862)
Fecha de publicación:
16/03/2026
Idioma:
Español
Las versiones de Dell ThinOS 10 anteriores a ThinOS 2602_10.0573, contienen una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando ('inyección de comandos'). Un atacante con pocos privilegios y acceso local podría potencialmente explotar esta vulnerabilidad, lo que llevaría a una Elevación de Privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en Doom Launcher (CVE-2025-66687)
Fecha de publicación:
16/03/2026
Idioma:
Español
Doom Launcher 3.8.1.0 es vulnerable a salto de directorio debido a la falta de validación de la ruta de archivo durante la extracción de archivos de juego.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en Chyrp (CVE-2025-69768)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de inyección SQL en Chyrp v.2.5.2 y anteriores permite a un atacante remoto obtener información sensible a través del componente Admin.php
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en AC8 de Tenda (CVE-2026-4252)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en Tenda AC8 16.03.50.11. Afectada por este problema es la función check_is_ipv6 del componente Gestor IPv6. La manipulación conduce a la dependencia de la dirección IP para la autenticación. Es posible iniciar el ataque remotamente. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en AWS API MCP Server de AWS (CVE-2026-4270)
Fecha de publicación:
16/03/2026
Idioma:
Español
Protección Inadecuada de Ruta Alternativa existe en la característica no-access y workdir del servidor AWS API MCP versiones &amp;gt;= 0.2.14 y &amp;lt; 1.3.9 en todas las plataformas, lo que puede permitir la omisión de la restricción de acceso a archivos prevista y exponer contenidos de archivos locales arbitrarios en el contexto de la aplicación cliente MCP.<br /> <br /> Para remediar este problema, los usuarios deben actualizar a la versión 1.3.9.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en CityChat de CityData (CVE-2026-4251)
Fecha de publicación:
16/03/2026
Idioma:
Español
Se determinó una vulnerabilidad en CityData CityChat hasta la versión 0.12.6 en Android. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo resources/assets/flutter_assets/assets/credentials.json del componente ai.citydata.citychat. Ejecutar una manipulación puede llevar al almacenamiento no protegido de credenciales. El ataque requiere acceso local. Un alto nivel de complejidad está asociado con este ataque. La explotación parece ser difícil. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
17/03/2026
Suscribirse a Vulnerabilidades