Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Azure Cloud Shell de Microsoft (CVE-2026-32169)
Fecha de publicación:
19/03/2026
Idioma:
Español
Falsificación de petición del lado del servidor (SSRF) en Azure Cloud Shell permite a un atacante no autorizado elevar privilegios sobre una red.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2026

Vulnerabilidad en Microsoft Bing Images (CVE-2026-32191)
Fecha de publicación:
19/03/2026
Idioma:
Español
Neutralización incorrecta de elementos especiales utilizados en un comando de sistema operativo ('inyección de comandos de sistema operativo') en Microsoft Bing Images permite a un atacante no autorizado ejecutar código a través de una red.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2026

Vulnerabilidad en ormar de ormar-orm (CVE-2026-27953)
Fecha de publicación:
19/03/2026
Idioma:
Español
ormar es un mini ORM asíncrono para Python. Las versiones 0.23.0 e inferiores son vulnerables a un bypass de validación de Pydantic a través del constructor del modelo, permitiendo a cualquier usuario no autenticado omitir toda la validación de campos inyectando '__pk_only__': true en un cuerpo de solicitud JSON. Al inyectar '__pk_only__': true en un cuerpo de solicitud JSON, un atacante no autenticado puede omitir toda la validación de campos y persistir datos no validados directamente en la base de datos. Una inyección de parámetro secundaria __excluded__ utiliza el mismo patrón para anular selectivamente campos de modelo arbitrarios (p. ej., correo electrónico o rol) durante la construcción. Esto afecta el patrón canónico de integración de FastAPI de ormar recomendado en su documentación oficial, permitiendo la escalada de privilegios, violaciones de integridad de datos y bypass de lógica de negocio en cualquier aplicación que utilice ormar.Model directamente como parámetro del cuerpo de la solicitud. Este problema ha sido solucionado en la versión 0.23.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2026

Vulnerabilidad en certificates de smallstep (CVE-2026-30836)
Fecha de publicación:
19/03/2026
Idioma:
Español
Step CA es una autoridad de certificación en línea para la gestión de certificados segura y automatizada para DevOps. Las versiones 0.30.0-rc6 e inferiores no protegen contra la emisión de certificados no autenticada a través de la solicitud SCEP UpdateReq. Este problema ha sido corregido en la versión 0.30.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2026

Vulnerabilidad en qui de autobrr (CVE-2026-30924)
Fecha de publicación:
19/03/2026
Idioma:
Español
qui es una interfaz web para gestionar instancias de qBittorrent. Las versiones 1.14.1 e inferiores utilizan una política CORS permisiva que refleja orígenes arbitrarios y también devuelve Access-Control-Allow-Credentials: true, permitiendo efectivamente que cualquier página web externa realice solicitudes autenticadas en nombre de un usuario con sesión iniciada. Un atacante puede explotar esto engañando a una víctima para que cargue una página web maliciosa, la cual interactúa silenciosamente con la aplicación utilizando la sesión de la víctima y potencialmente exfiltrando datos sensibles como claves API y credenciales de cuenta, o incluso logrando un compromiso total del sistema a través del gestor de Programas Externos incorporado. La explotación requiere que la víctima acceda a la aplicación a través de un nombre de host que no sea localhost y cargue una página web controlada por el atacante, lo que convierte los ataques de ingeniería social altamente dirigidos en el escenario más probable en el mundo real. Este problema no fue solucionado en el momento de la publicación.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/03/2026

Vulnerabilidad en discourse (CVE-2026-27740)
Fecha de publicación:
19/03/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Las versiones anteriores a 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 tienen una vulnerabilidad de cross-site scripting que surge porque el sistema confía en la salida sin procesar de un Modelo de Lenguaje Grande de IA (LLM) y la renderiza usando htmlSafe en la interfaz de la Cola de Revisión sin una sanitización adecuada. Un atacante malicioso puede usar técnicas válidas de Inyección de Prompt para forzar a la IA a devolver una carga útil maliciosa (p. ej., etiquetas). Cuando un miembro del personal (Administrador/Moderador) ve la publicación marcada en la Cola de Revisión, la carga útil se ejecuta. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Como solución alternativa, deshabilite temporalmente los scripts de automatización de triaje de IA.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en discourse (CVE-2026-27570)
Fecha de publicación:
19/03/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, el método onebox en el modelo SharedAiConversation renderiza el título de la conversación directamente en HTML sin una sanitización adecuada. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Como solución alternativa, restrinja el acceso cambiando la configuración del sitio 'ai_bot_public_sharing_allowed_groups'.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en discourse (CVE-2026-27491)
Fecha de publicación:
19/03/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, un problema de coerción de tipos en un endpoint de la API de acciones de publicaciones permitía a usuarios que no eran parte del personal emitir advertencias a otros usuarios. Las advertencias son una característica de moderación solo para el personal. La vulnerabilidad requería que el atacante fuera un usuario con sesión iniciada y enviara una solicitud específicamente diseñada. No fue posible la exposición de datos ni la escalada de privilegios más allá de la capacidad de crear advertencias de usuario no autorizadas. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en Microsoft Purview de Microsoft (CVE-2026-26139)
Fecha de publicación:
19/03/2026
Idioma:
Español
Falsificación de petición del lado del servidor (SSRF) en Microsoft Purview permite a un atacante no autorizado elevar privilegios sobre una red.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en Microsoft Purview de Microsoft (CVE-2026-26138)
Fecha de publicación:
19/03/2026
Idioma:
Español
Falsificación de petición del lado del servidor (SSRF) en Microsoft Purview permite a un atacante no autorizado elevar privilegios a través de una red.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en discourse (CVE-2026-27454)
Fecha de publicación:
19/03/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, solicitar /posts/:id.json?version=X eludía las comprobaciones de autorización en las revisiones de publicaciones. El método display_post llamaba a post.revert_to directamente sin verificar si la revisión estaba oculta o si el usuario tenía permiso para ver el historial de edición. Esto significaba que las revisiones ocultas (ocultadas intencionadamente por el personal) podían ser leídas por cualquier usuario simplemente enumerando los números de versión. A partir de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, Discourse busca la PostRevision y llama a guardian.ensure_can_see! antes de revertir, de forma consistente con cómo el endpoint /posts/:id/revisions/:revision ya autoriza el acceso. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en discourse (CVE-2026-27166)
Fecha de publicación:
19/03/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, una limpieza insuficiente en el valor predeterminado de iframes permitidos de Codepen permite a un atacante engañar a un usuario para que cambie la URL de la página principal. Este problema ha sido solucionado en las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2. Como solución alternativa a este problema, elimine Codepen de la lista de iframes permitidos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2026
Suscribirse a Vulnerabilidades