Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en plugin de WordPress Contextual Related Posts (CVE-2026-32565)
Fecha de publicación:
18/03/2026
Idioma:
Español
Vulnerabilidad de falta de autorización en WebberZone Contextual Related Posts permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Contextual Related Posts: desde n/a antes de la 4.2.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en plugin Yoast Duplicate Post de WordPress (CVE-2026-1217)
Fecha de publicación:
18/03/2026
Idioma:
Español
El plugin Yoast Duplicate Post para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en las funciones clone_bulk_action_handler() y republish_request() en todas las versiones hasta la 4.5, inclusive. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, dupliquen cualquier entrada en el sitio, incluyendo entradas privadas, borradores y entradas en la papelera a las que no deberían tener acceso. Además, los atacantes con acceso de nivel Autor y superior pueden usar la función 'Reescribir y Republicar' para sobrescribir cualquier entrada publicada con su propio contenido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en Spring AI de VMware (CVE-2026-22729)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una vulnerabilidad de inyección de JSONPath en el AbstractFilterExpressionConverter de Spring AI permite a usuarios autenticados eludir los controles de acceso basados en metadatos mediante expresiones de filtro manipuladas. La entrada controlada por el usuario pasada a FilterExpressionBuilder se concatena en consultas JSONPath sin el escape adecuado, lo que permite a los atacantes inyectar lógica JSONPath arbitraria y acceder a documentos no autorizados.<br /> <br /> Esta vulnerabilidad afecta a las aplicaciones que utilizan almacenes vectoriales que extienden AbstractFilterExpressionConverter para aislamiento multi-inquilino, control de acceso basado en roles o filtrado de documentos basado en metadatos.<br /> <br /> La vulnerabilidad ocurre cuando los valores proporcionados por el usuario en las expresiones de filtro no se escapan antes de ser insertados en las consultas JSONPath. Caracteres especiales como &amp;#39;"&amp;#39;, &amp;#39;||&amp;#39; y &amp;#39;&amp;amp;&amp;amp;&amp;#39; se pasan sin escapar, lo que permite la inyección de lógica JSONPath arbitraria que puede alterar la semántica de la consulta prevista.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en Spring AI de VMware (CVE-2026-22730)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una vulnerabilidad crítica de inyección SQL en el MariaDBFilterExpressionConverter de Spring AI permite a los atacantes eludir los controles de acceso basados en metadatos y ejecutar comandos SQL arbitrarios.<br /> <br /> La vulnerabilidad existe debido a la falta de saneamiento de entrada.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en Phoenix Contact (CVE-2026-22322)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) almacenado en la interfaz de configuración de Agregación de Enlaces permite a un atacante remoto no autenticado crear una entrada de troncal que contenga código HTML/JavaScript malicioso. Cuando se visualiza la página afectada, el script inyectado se ejecuta en el contexto del navegador de la víctima, lo que permite acciones no autorizadas como la manipulación de la interfaz. La cookie de sesión está protegida por la bandera httpOnly. Por lo tanto, un atacante no puede tomar el control de la sesión de un usuario autenticado.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en Phoenix Contact (CVE-2026-22323)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una vulnerabilidad CSRF en la interfaz de configuración de Agregación de Enlaces permite a un atacante remoto no autenticado engañar a usuarios autenticados para que envíen solicitudes POST no autorizadas al dispositivo atrayéndolos a una página web maliciosa. Esto puede alterar silenciosamente la configuración del dispositivo sin el conocimiento o consentimiento de la víctima. El impacto en la disponibilidad se estableció en bajo porque después de un ataque exitoso el dispositivo se recuperará automáticamente sin intervención externa.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en Phoenix Contact (CVE-2026-22320)
Fecha de publicación:
18/03/2026
Idioma:
Español
Un desbordamiento de búfer basado en pila en el manejo del comando de transferencia de archivos TFTP de la CLI permite a un atacante con privilegios bajos con acceso Telnet/SSH activar la corrupción de memoria al proporcionar una entrada de nombre de archivo inesperada o sobredimensionada. La explotación resulta en la corrupción del búfer interno, haciendo que la CLI y el panel web dejen de estar disponibles y provocando una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en Phoenix Contact (CVE-2026-22321)
Fecha de publicación:
18/03/2026
Idioma:
Español
Un desbordamiento de búfer basado en pila en la rutina de inicio de sesión CLI de Telnet/SSH del dispositivo ocurre cuando un atacante no autenticado envía una entrada de nombre de usuario sobredimensionada o inesperada. Una condición de desbordamiento bloquea el hilo que maneja el intento de inicio de sesión, forzando el cierre de la sesión. Debido a que otras sesiones CLI no se ven afectadas, el impacto se limita a una interrupción de disponibilidad de baja gravedad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en Phoenix Contact (CVE-2026-22318)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer basado en pila en el flujo de trabajo de parámetros de transferencia de archivos del dispositivo permite a un atacante con altos privilegios enviar parámetros POST sobredimensionados, causando corrupción de memoria en un proceso interno, resultando en un ataque DoS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en Phoenix Contact (CVE-2026-22319)
Fecha de publicación:
18/03/2026
Idioma:
Español
Un desbordamiento de búfer basado en pila en el flujo de trabajo de instalación de archivos del dispositivo permite a un atacante con altos privilegios enviar parámetros POST de tamaño excesivo que desbordan un búfer de pila de tamaño fijo dentro de un proceso interno, lo que resulta en un ataque de DoS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en Phoenix Contact (CVE-2026-22316)
Fecha de publicación:
18/03/2026
Idioma:
Español
Un atacante remoto con privilegios de usuario para la webUI puede usar la configuración del nombre de archivo TFTP con una solicitud POST para desencadenar un desbordamiento de búfer basado en pila, lo que resulta en un ataque de DoS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en Phoenix Contact (CVE-2026-22317)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos en el flujo de trabajo de transferencia de certificados de CA raíz del dispositivo permite a un atacante con altos privilegios enviar solicitudes HTTP POST manipuladas que resultan en la ejecución arbitraria de comandos en el sistema operativo Linux subyacente con privilegios de root.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026
Suscribirse a Vulnerabilidades