Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Linux (CVE-2026-23271)
Fecha de publicación:
20/03/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> perf: Corrección de la condición de carrera entre __perf_event_overflow() y perf_remove_from_context()<br /> <br /> Asegurar que __perf_event_overflow() se ejecute con las IRQ deshabilitadas para todas las cadenas de llamadas posibles. Específicamente, los eventos de software pueden terminar ejecutándolo con solo la preemption deshabilitada.<br /> <br /> Esto abre una condición de carrera frente a perf_event_exit_event() y funciones relacionadas que liberarán varias cosas que la ruta de desbordamiento espera que estén presentes, como el programa BPF.
Gravedad: Pendiente de análisis
Última modificación:
20/03/2026

Vulnerabilidad en Free5GC (CVE-2026-33064)
Fecha de publicación:
20/03/2026
Idioma:
Español
Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). Las versiones anteriores a la 1.4.2 son vulnerables a un pánico de procedimiento causado por una desreferenciación de puntero nulo (Nil Pointer Dereference) en el endpoint /sdm-subscriptions. Un atacante remoto puede causar que el servicio UDM entre en pánico y falle enviando una solicitud POST manipulada al endpoint /sdm-subscriptions con una ruta URL malformada que contenga secuencias de salto de ruta (../) y una carga útil JSON grande. La función DataChangeNotificationProcedure en notifier.go intenta acceder a un puntero nulo sin la validación adecuada, lo que provoca un fallo completo del servicio con el error &amp;#39;runtime error: invalid memory address or nil pointer dereference&amp;#39;. La explotación resultaría en la interrupción de la funcionalidad del UDM hasta su recuperación mediante un reinicio. Este problema ha sido solucionado en la versión 1.4.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Free5GC (CVE-2026-33065)
Fecha de publicación:
20/03/2026
Idioma:
Español
Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). En versiones anteriores a la 1.4.2, el UDM convierte incorrectamente una solicitud 400 Bad Request descendente (del UDR) en un error 500 Internal Server Error al manejar solicitudes DELETE con un parámetro de ruta &amp;#39;supi&amp;#39; vacío. Esto expone el comportamiento interno de manejo de errores y dificulta a los clientes distinguir entre errores del lado del cliente y fallos del lado del servidor. Cuando un cliente envía una solicitud DELETE con un &amp;#39;supi&amp;#39; vacío (por ejemplo, barras dobles // en la ruta URL), el UDM reenvía la solicitud malformada al UDR, el cual devuelve correctamente un 400. Sin embargo, el UDM propaga esto como 500 SYSTEM_FAILURE en lugar de devolver el error 400 apropiado al cliente. Esto viola las mejores prácticas de la API REST para operaciones DELETE. El problema ha sido parcheado en la versión 1.4.2.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en Free5GC (CVE-2026-33191)
Fecha de publicación:
20/03/2026
Idioma:
Español
Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). Las versiones anteriores a la 1.4.2 son vulnerables a la inyección de bytes nulos en los parámetros de ruta de URL. Un atacante remoto puede inyectar bytes nulos (codificados en URL como %00) en el parámetro de ruta supi de la API Nudm_SubscriberDataManagement del UDM. Esto causa un fallo en el análisis de URL en el paquete net/url de Go con el error &amp;#39;invalid control character in URL&amp;#39;, lo que resulta en un error 500 Internal Server Error. Esta vulnerabilidad de inyección de bytes nulos puede ser explotada para ataques de denegación de servicio. Cuando el parámetro supi contiene caracteres nulos, el UDM intenta construir una URL para UDR que incluye estos caracteres de control. El analizador de URL de Go los rechaza, lo que provoca que la solicitud falle con 500 en lugar de validar correctamente la entrada y devolver 400 Bad Request. Este problema ha sido solucionado en la versión 1.4.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en exactyl (CVE-2026-33061)
Fecha de publicación:
20/03/2026
Idioma:
Español
exactyl es un panel de gestión de juegos y sistema de facturación personalizable. Commits después de 025e8dbb0daaa04054276bda814d922cf4af58da y antes de e28edb204e80efab628d1241198ea4f079779cfd inyectan objetos del lado del servidor en JavaScript del lado del cliente a través de resources/views/templates/wrapper.blade.php. Usar {!! json_encode(...) !!} sin escapar y sin banderas de codificación segura permite que los valores de cadena salgan del contexto de JavaScript y sean interpretados como HTML/JS por el navegador. Si algún campo serializado contiene contenido controlado por el atacante, como un nombre de usuario, nombre de visualización o valor de configuración del sitio, una carga útil maliciosa ejecutará un script arbitrario para cualquier usuario que vea la página (XSS DOM almacenado). Este problema ha sido parcheado por el commit e28edb204e80efab628d1241198ea4f079779cfd.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en Tekton Pipelines (CVE-2026-33022)
Fecha de publicación:
20/03/2026
Idioma:
Español
El proyecto Tekton Pipelines proporciona recursos estilo k8s para declarar pipelines estilo CI/CD. Las versiones 0.60.0 a 1.0.0, 1.1.0 a 1.3.2, 1.4.0 a 1.6.0, 1.7.0 a 1.9.0, 1.10.0 y 1.10.1 tienen una vulnerabilidad de denegación de servicio que permite a cualquier usuario que pueda crear un TaskRun o PipelineRun bloquear el controlador en todo el clúster al establecer .spec.taskRef.resolver (o .spec.pipelineRef.resolver) a una cadena de 31 o más caracteres. El bloqueo ocurre porque GenerateDeterministicNameFromSpec produce un nombre que excede el límite de etiqueta DNS-1123 de 63 caracteres, y su lógica de truncamiento entra en pánico en un límite de segmento [-1] ya que el nombre generado no contiene espacios. Una vez bloqueado, el controlador entra en un CrashLoopBackOff al reiniciar (ya que vuelve a reconciliar el recurso infractor), bloqueando toda la reconciliación de CI/CD hasta que el recurso se elimine manualmente. Los resolvedores incorporados (git, cluster, bundles, hub) no se ven afectados debido a sus nombres cortos, pero cualquier nombre de resolvedor personalizado activa el error. La solución trunca el prefijo del nombre del resolvedor en lugar de la cadena completa, preservando el sufijo hash para determinismo y unicidad. Este problema ha sido parcheado en las versiones 1.0.1, 1.3.3, 1.6.1, 1.9.2 y 1.10.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en tar-rs (CVE-2026-33056)
Fecha de publicación:
20/03/2026
Idioma:
Español
tar-rs es una biblioteca de lectura/escritura de archivos tar para Rust. En las versiones 0.4.44 e inferiores, al desempaquetar un archivo tar, la función `unpack_dir` del crate `tar` utiliza `fs::metadata()` para verificar si una ruta que ya existe es un directorio. Debido a que `fs::metadata()` sigue los enlaces simbólicos, un tarball manipulado que contiene una entrada de enlace simbólico seguida de una entrada de directorio con el mismo nombre hace que el crate trate el destino del enlace simbólico como un directorio existente válido y, posteriormente, le aplique `chmod`. Esto permite a un atacante modificar los permisos de directorios arbitrarios fuera de la raíz de extracción. Este problema ha sido solucionado en la versión 0.4.45.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en Mesop (CVE-2026-33057)
Fecha de publicación:
20/03/2026
Idioma:
Español
Mesop es un framework de UI basado en Python que permite a los usuarios construir aplicaciones web. En las versiones 1.2.2 e inferiores, un endpoint web explícito dentro de la infraestructura del módulo de pruebas ai/ ingiere directamente cadenas de código Python no confiables incondicionalmente sin medidas de autenticación, lo que resulta en una Ejecución Remota de Código sin Restricciones estándar. Cualquier individuo capaz de enrutar lógica HTTP a este bloque de servidor obtendrá derechos explícitos de comando de la máquina anfitriona. El paquete de código base de IA incluye un servidor Flask de depuración ligero dentro de ai/sandbox/wsgi_app.py. La ruta /exec-py acepta cargas útiles de cadenas en bruto codificadas en base_64 dentro del parámetro code, evaluadas nativamente por una solicitud web POST básica. Lo guarda rápidamente en la ruta lógica del sistema operativo y lo inyecta recursivamente usando execute_module(module_path...). Este problema ha sido solucionado en la versión 1.2.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2026

Vulnerabilidad en CKAN MCP Server (CVE-2026-33060)
Fecha de publicación:
20/03/2026
Idioma:
Español
CKAN MCP Server es una herramienta para consultar portales de datos abiertos CKAN. Las versiones anteriores a la 0.4.85 proporcionan herramientas que incluyen ckan_package_search y sparql_query que aceptan un parámetro base_url, realizando solicitudes HTTP a puntos finales arbitrarios sin restricción. Un cliente de portal CKAN no tiene ninguna razón legítima para contactar metadatos de la nube o servicios de red internos. No hay validación de URL en el parámetro base_url. No hay bloqueo de IP privadas (RFC 1918, link-local 169.254.x.x), no hay bloqueo de metadatos de la nube. Las herramientas sparql_query y ckan_datastore_search_sql también aceptan URLs base arbitrarias y exponen superficies de inyección. Un ataque puede conducir a escaneo de red interno, robo de metadatos de la nube (credenciales IAM a través de IMDS en 169.254.169.254), inyección potencial de SQL/SPARQL a través de parámetros de consulta no saneados. El ataque requiere inyección de prompt para controlar el parámetro base_url. Este problema ha sido solucionado en la versión 0.4.85.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en YI Home Camera (CVE-2026-4476)
Fecha de publicación:
20/03/2026
Idioma:
Español
Se encontró una vulnerabilidad en Yi Technology YI Home Camera 2 2.1.1_20171024151200. El elemento afectado es una función desconocida del archivo home/web/ipc del componente CGI Endpoint. Realizar una manipulación resulta en falta de autenticación. Se requiere acceso a la red local para este ataque. El exploit se ha hecho público y podría ser usado. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en YI Home Camera (CVE-2026-4477)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad fue determinada en Yi Technology YI Home Camera 2 2.1.1_20171024151200. Esto afecta una función desconocida del componente WPA/WPS. Ejecutar una manipulación puede llevar al uso de clave criptográfica codificada de forma rígida. El ataque solo puede realizarse dentro de la red local. Este ataque se caracteriza por alta complejidad. La explotabilidad se reporta como difícil. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
20/03/2026

Vulnerabilidad en YI Home Camera (CVE-2026-4478)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en Yi Technology YI Home Camera 2 2.1.1_20171024151200. Esto afecta una función desconocida del archivo home/web/ipc del componente Gestor de Actualización de Firmware HTTP. La manipulación lleva a una verificación incorrecta de la firma criptográfica. El ataque es posible de llevar a cabo remotamente. La complejidad de un ataque es bastante alta. La explotabilidad se dice que es difícil. El exploit está disponible públicamente y podría ser usado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026
Suscribirse a Vulnerabilidades