Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en parse-server de parse-community (CVE-2026-33627)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.61 y 9.6.0-alpha.55, un usuario autenticado que llama a GET /users/me recibe datos de autenticación sin sanitizar, incluyendo credenciales sensibles como secretos TOTP de MFA y códigos de recuperación. El endpoint utiliza internamente autenticación de nivel maestro para la consulta de sesión, y el contexto maestro se filtra a los datos del usuario, eludiendo la sanitización del adaptador de autenticación. Un atacante que obtiene el token de sesión de un usuario puede extraer secretos de MFA para generar códigos TOTP válidos indefinidamente. Este problema ha sido parcheado en las versiones 8.6.61 y 9.6.0-alpha.55.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33624)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.60 y 9.6.0-alpha.54, un atacante que obtiene la contraseña de un usuario y un único código de recuperación MFA puede reutilizar ese código de recuperación un número ilimitado de veces enviando solicitudes de inicio de sesión concurrentes. Esto anula el diseño de un solo uso de los códigos de recuperación. El ataque requiere la contraseña del usuario, un código de recuperación válido y la capacidad de enviar solicitudes concurrentes en cuestión de milisegundos. Este problema ha sido parcheado en las versiones 8.6.60 y 9.6.0-alpha.54.
Gravedad CVSS v4.0: BAJA
Última modificación:
25/03/2026

Vulnerabilidad en astro de withastro (CVE-2026-33769)
Fecha de publicación:
24/03/2026
Idioma:
Español
Astro es un framework web. Desde la versión 2.10.10 hasta antes de la versión 5.18.1, este problema concierne la aplicación de rutas de remotePatterns de Astro para URLs remotas utilizadas por capturadores del lado del servidor, como el endpoint de optimización de imágenes. La lógica de coincidencia de rutas para comodines /* no está anclada, por lo que un nombre de ruta que contenga el prefijo permitido más adelante en la ruta aún puede coincidir. Como resultado, un atacante puede obtener rutas fuera del prefijo permitido previsto en un host que de otro modo estaría permitido. Este problema ha sido parcheado en la versión 5.18.1.
Gravedad CVSS v4.0: BAJA
Última modificación:
26/03/2026

Vulnerabilidad en astro de withastro (CVE-2026-33768)
Fecha de publicación:
24/03/2026
Idioma:
Español
Astro es un web framework. Antes de la versión 10.0.2, el punto de entrada sin servidor @astrojs/vercel lee la cabecera x-astro-path y el parámetro de consulta x_astro_path para reescribir la ruta de solicitud interna, sin autenticación alguna. En despliegues sin Edge Middleware, esto permite a cualquiera eludir por completo las restricciones de ruta a nivel de plataforma de Vercel. La anulación preserva el método HTTP y el cuerpo originales, por lo que esto no se limita a GET. POST, PUT, DELETE todos aterrizan en la ruta reescrita. Una regla de cortafuegos que bloquea /admin/* no hace nada cuando la solicitud llega como POST /api/health?x_astro_path=/admin/delete-user. Este problema ha sido parcheado en la versión 10.0.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33539)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.59 y 9.6.0-alpha.53, un atacante con acceso a la clave maestra puede ejecutar sentencias SQL arbitrarias en la base de datos PostgreSQL inyectando metacaracteres SQL en los parámetros de nombre de campo de la etapa de pipeline $group de agregación o la operación distinct. Esto permite la escalada de privilegios de administrador a nivel de aplicación de Parse Server a acceso a nivel de base de datos PostgreSQL. Solo las implementaciones de Parse Server que usan PostgreSQL se ven afectadas. Las implementaciones de MongoDB no se ven afectadas. Este problema ha sido parcheado en las versiones 8.6.59 y 9.6.0-alpha.53.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33498)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.55 y 9.6.0-alpha.44, un atacante puede enviar una solicitud HTTP no autenticada con una consulta profundamente anidada que contenga operadores lógicos para colgar permanentemente el proceso de Parse Server. El servidor se vuelve completamente inoperable y debe ser reiniciado manualmente. Esto es un bypass de la corrección para CVE-2026-32944. Este problema ha sido parcheado en las versiones 8.6.55 y 9.6.0-alpha.44.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33508)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.56 y 9.6.0-alpha.45, el componente LiveQuery de Parse Server no aplica la configuración requestComplexity.queryDepth al procesar solicitudes de suscripción WebSocket. Un atacante puede enviar una suscripción con operadores lógicos profundamente anidados, causando recursión excesiva y consumo de CPU que degrada o interrumpe la disponibilidad del servicio. Este problema ha sido parcheado en las versiones 8.6.56 y 9.6.0-alpha.45.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33527)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.57 y 9.6.0-alpha.48, un usuario autenticado puede sobrescribir campos de sesión generados por el servidor, como expiresAt y createdWith, al actualizar su propia sesión a través de la API REST. Esto permite eludir la política de vida útil de la sesión configurada del servidor, haciendo que una sesión sea efectivamente permanente. Este problema ha sido parcheado en las versiones 8.6.57 y 9.6.0-alpha.48.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33538)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.58 y 9.6.0-alpha.52, un atacante no autenticado puede causar denegación de servicio enviando solicitudes de autenticación con nombres de proveedor arbitrarios y no configurados. El servidor ejecuta una consulta de base de datos para cada proveedor no configurado antes de rechazar la solicitud, y dado que no existe un índice de base de datos para proveedores no configurados, cada solicitud desencadena un escaneo completo de la colección en la base de datos de usuarios. Esto puede ser paralelizado para saturar los recursos de la base de datos. Este problema ha sido parcheado en las versiones 8.6.58 y 9.6.0-alpha.52.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33409)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.52 y 9.6.0-alpha.41, una vulnerabilidad de omisión de autenticación permite a un atacante iniciar sesión como cualquier usuario que haya vinculado un proveedor de autenticación de terceros, sin conocer las credenciales del usuario. El atacante solo necesita conocer el ID de proveedor del usuario para obtener acceso completo a su cuenta, incluyendo un token de sesión válido. Esto afecta a las implementaciones de Parse Server donde la opción del servidor allowExpiredAuthDataToken está configurada como true. El valor predeterminado es false. Este problema ha sido parcheado en las versiones 8.6.52 y 9.6.0-alpha.41.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33421)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.53 y 9.6.0-alpha.42, la interfaz LiveQuery WebSocket de Parse Server no aplica los permisos de puntero de Permiso a Nivel de Clase (CLP) (readUserFields y pointerFields). Cualquier usuario autenticado puede suscribirse a eventos LiveQuery y recibir actualizaciones en tiempo real para todos los objetos en clases protegidas por permisos de puntero, independientemente de si los campos de puntero en esos objetos apuntan al usuario suscriptor. Esto elude el control de acceso de lectura previsto, permitiendo el acceso no autorizado a datos potencialmente sensibles que están correctamente restringidos a través de la API REST. Este problema ha sido parcheado en las versiones 8.6.53 y 9.6.0-alpha.42.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33429)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.54 y 9.6.0-alpha.43, un atacante puede suscribirse a LiveQuery con un parámetro watch dirigido a un campo protegido. Aunque el valor del campo protegido se elimina correctamente de las cargas útiles de los eventos, la presencia o ausencia de eventos de actualización revela si el campo protegido cambió, creando un oráculo binario. Para campos protegidos booleanos, el momento de los eventos de cambio es equivalente a conocer el valor del campo. Este problema ha sido parcheado en las versiones 8.6.54 y 9.6.0-alpha.43.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026
Suscribirse a Vulnerabilidades