Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenClaw (CVE-2026-31995)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw 2026.1.21 anteriores a la 2026.2.19 contienen una vulnerabilidad de inyección de comandos en el mecanismo de reserva de shell de Windows de la extensión Lobster que permite a los atacantes inyectar comandos arbitrarios a través de argumentos proporcionados por la herramienta. Cuando los fallos de spawn activan la reserva de shell con shell: true, los atacantes pueden explotar la interpretación de comandos de cmd.exe para ejecutar comandos maliciosos controlando los argumentos del flujo de trabajo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-31996)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.19 tools.exec.safeBins contiene una vulnerabilidad de omisión de validación de entrada que permite a los atacantes ejecutar operaciones de sistema de archivos no intencionadas a través de indicadores de salida de sort o indicadores de grep recursivos. Los atacantes con acceso de ejecución de comandos pueden aprovechar el indicador sort -o para escrituras de archivos arbitrarias o el indicador grep -R para lecturas de archivos recursivas, eludiendo las restricciones intencionadas de solo stdin.
Gravedad CVSS v4.0: BAJA
Última modificación:
25/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-29608)
Fecha de publicación:
19/03/2026
Idioma:
Español
OpenClaw 2026.3.1 contiene una vulnerabilidad de integridad de aprobación en la ejecución de node-host de system.run donde la reescritura de argv cambia la semántica del comando. Los atacantes pueden colocar scripts locales maliciosos en el directorio de trabajo para ejecutar código no deseado a pesar de la aprobación del operador de un texto de comando diferente.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-31989)
Fecha de publicación:
19/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a 2026.3.1 contienen una vulnerabilidad de falsificación de petición del lado del servidor en la resolución de redirección de citas de web_search que utiliza una política de SSRF que permite redes privadas. Un atacante que puede influir en los objetivos de redirección de citas puede desencadenar peticiones de red interna desde el host de OpenClaw a destinos de bucle invertido, privados o internos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-31990)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.3.2 contienen una vulnerabilidad en la función stageSandboxMedia en la que no valida los enlaces simbólicos de destino durante la preparación de medios, permitiendo que las escrituras sigan enlaces simbólicos fuera del espacio de trabajo de la sandbox. Los atacantes pueden explotar esto colocando enlaces simbólicos en el directorio media/inbound para sobrescribir archivos arbitrarios en el sistema anfitrión fuera de los límites de la sandbox.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-31991)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.26 contienen una vulnerabilidad de omisión de autorización donde la política de lista de permitidos de grupos de Signal acepta incorrectamente identidades de remitente de aprobaciones de almacenamiento de emparejamiento de DM. Los atacantes pueden explotar esta debilidad de límite al obtener la aprobación de emparejamiento de DM para omitir las comprobaciones de la lista de permitidos del grupo y obtener acceso no autorizado al grupo.
Gravedad CVSS v4.0: BAJA
Última modificación:
19/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-29607)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.22 contienen una vulnerabilidad de omisión de autorización en la persistencia del *wrapper* allow-always que permite a los atacantes omitir las comprobaciones de aprobación al persistir entradas de la lista de permitidos a nivel de *wrapper* en lugar de validar la intención del ejecutable interno. Los atacantes remotos pueden aprobar comandos *system.run* envueltos benignos y posteriormente ejecutar diferentes cargas útiles sin aprobación, lo que permite la ejecución remota de código en los flujos de ejecución de *gateway* y *node-host*.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-27670)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.3.2 contienen una vulnerabilidad de condición de carrera en la extracción de archivos ZIP que permite a atacantes locales escribir archivos fuera del directorio de destino previsto. Los atacantes pueden explotar una condición de carrera de tipo 'tiempo de verificación, tiempo de uso' entre la validación de rutas y las operaciones de escritura de archivos al reasignar enlaces simbólicos de directorios padre para redirigir las escrituras fuera de la raíz de extracción.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28461)
Fecha de publicación:
19/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a la 2026.3.1 contienen una vulnerabilidad de crecimiento de memoria ilimitado en el endpoint de webhook de Zalo que permite a atacantes no autenticados desencadenar la acumulación de claves en memoria al variar las cadenas de consulta. Atacantes remotos pueden explotar esto al enviar solicitudes repetidas con diferentes parámetros de consulta para causar presión en la memoria, inestabilidad del proceso o condiciones de falta de memoria que degradan la disponibilidad del servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28449)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.25 carecen de un estado de reproducción duradero para los eventos de webhook de Nextcloud Talk, lo que permite que las solicitudes de webhook firmadas válidas se reproduzcan sin supresión. Los atacantes pueden capturar y reproducir solicitudes de webhook firmadas previamente válidas para desencadenar el procesamiento duplicado de mensajes entrantes y causar problemas de integridad o disponibilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28460)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.22 contienen una vulnerabilidad de omisión de lista de permitidos en system.run que permite a los atacantes ejecutar comandos no incluidos en la lista de permitidos dividiendo la sustitución de comandos mediante caracteres de continuación de línea de shell. Los atacantes pueden eludir el análisis de seguridad inyectando $\\ seguido de un salto de línea y un paréntesis de apertura dentro de comillas dobles, haciendo que el shell pliegue la continuación de línea en una sustitución de comandos ejecutable que elude los límites de aprobación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-22176)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.19 contienen una vulnerabilidad de inyección de comandos en la generación de scripts de Tareas Programadas de Windows, donde las variables de entorno se escriben en gateway.cmd utilizando asignaciones set KEY=VALUE sin comillas, permitiendo que los metacaracteres de shell escapen del contexto de asignación. Los atacantes pueden inyectar comandos arbitrarios a través de valores de variables de entorno que contengan metacaracteres como &, |, ^, %, o ! para lograr la ejecución de comandos cuando el script de la tarea programada se genera y ejecuta.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026
Suscribirse a Vulnerabilidades