Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en VirtualHost de aaPanel (CVE-2026-29856)
Fecha de publicación:
18/03/2026
Idioma:
Español
Un problema en el componente de manejo/analizador de configuración de VirtualHost de aaPanel v7.57.0 permite a los atacantes causar una Denegación de Servicio por Expresiones Regulares (ReDoS) a través de una entrada manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en aaPanel (CVE-2026-29858)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una falta de validación de rutas en aaPanel v7.57.0 permite a los atacantes ejecutar una inclusión local de ficheros (LFI), lo que lleva a la exposición de información sensible.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en aaPanel (CVE-2026-29859)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una vulnerabilidad de carga arbitraria de archivos en aaPanel v7.57.0 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo manipulado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/03/2026

Vulnerabilidad en widget NotChatbot WebChat (CVE-2026-30048)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) almacenado existe en el widget NotChatbot WebChat hasta la versión 1.4.4. La entrada proporcionada por el usuario no se sanitiza correctamente antes de ser almacenada y renderizada en el historial de conversación del chat. Esto permite a un atacante inyectar código JavaScript arbitrario que se ejecuta cuando se recarga el historial del chat. El problema es reproducible en múltiples implementaciones independientes del widget, lo que indica que la vulnerabilidad reside en el producto mismo en lugar de en una configuración específica del sitio web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en WiFi Extender WDR201A (CVE-2026-30701)
Fecha de publicación:
18/03/2026
Idioma:
Español
La interfaz web del Extensor WiFi WDR201A (HW V2.1, FW LFMZX28040922V1.02) contiene mecanismos de divulgación de credenciales codificados de forma rígida (en forma de Server Side Include) dentro de múltiples páginas web del lado del servidor, incluyendo login.shtml y settings.shtml. Estas páginas incrustan directivas de ejecución del lado del servidor que recuperan y exponen dinámicamente la contraseña de administración web de la memoria no volátil en tiempo de ejecución.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/03/2026

Vulnerabilidad en WiFi Extender WDR201A (CVE-2026-30702)
Fecha de publicación:
18/03/2026
Idioma:
Español
El Extensor WiFi WDR201A (HW V2.1, FW LFMZX28040922V1.02) implementa un mecanismo de autenticación defectuoso en su interfaz de gestión web. La página de inicio de sesión no aplica correctamente la validación de sesión, permitiendo a los atacantes eludir la autenticación accediendo directamente a puntos finales restringidos de la aplicación web mediante navegación forzada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/03/2026

Vulnerabilidad en WiFi Extender WDR201A (CVE-2026-30703)
Fecha de publicación:
18/03/2026
Idioma:
Español
Existe una vulnerabilidad de inyección de comandos en la interfaz de gestión web del Extensor WiFi WDR201A (HW V2.1, FW LFMZX28040922V1.02). El endpoint adm.cgi sanitiza de forma inadecuada la entrada suministrada por el usuario proporcionada a un parámetro relacionado con comandos en la funcionalidad sysCMD.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/03/2026

Vulnerabilidad en giflib (CVE-2026-26740)
Fecha de publicación:
18/03/2026
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer en giflib v.5.2.2 permite a un atacante remoto causar una denegación de servicio a través de EGifGCBToExtension sobrescribiendo un bloque de extensión de control gráfico existente sin validar su tamaño asignado.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/03/2026

Vulnerabilidad en Integrated Dell Remote Access Controller (CVE-2026-26945)
Fecha de publicación:
18/03/2026
Idioma:
Español
Dell Integrated Dell Remote Access Controller 9, versiones 14G anteriores a 7.00.00.181, versiones 15G y 16G anteriores a 7.20.10.50 y Dell Integrated Dell Remote Access Controller 10, versiones 17G anteriores a 1.20.25.00, contienen una vulnerabilidad de control de procesos. Un atacante con altos privilegios con acceso a la red adyacente podría potencialmente explotar esta vulnerabilidad, lo que llevaría a la ejecución de código.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en Integrated Dell Remote Access Controller (CVE-2026-26948)
Fecha de publicación:
18/03/2026
Idioma:
Español
Dell Integrated Dell Remote Access Controller 9, versiones 14G anteriores a 7.00.00.174, versiones 15G y 16G anteriores a 7.10.90.00, contienen una vulnerabilidad de Exposición de Información Sensible del Sistema Debido a Información de Depuración No Borrada. Un atacante con altos privilegios y acceso remoto podría potencialmente explotar esta vulnerabilidad, lo que llevaría a la revelación de información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en nghttp2 (CVE-2026-27135)
Fecha de publicación:
18/03/2026
Idioma:
Español
nghttp2 es una implementación del Protocolo de Transferencia de Hipertexto versión 2 en C. Antes de la versión 1.68.1, la biblioteca nghttp2 deja de leer los datos entrantes cuando la aplicación llama a la API pública orientada al usuario 'nghttp2_session_terminate_session' o 'nghttp2_session_terminate_session2'. Estas pueden ser llamadas internamente por la biblioteca cuando esta detecta una situación sujeta a error de conexión. Debido a la falta de validación del estado interno, la biblioteca sigue leyendo el resto de los datos después de que se llama a una de esas APIs. Luego, recibir una trama malformada que causa FRAME_SIZE_ERROR provoca un fallo de aserción. nghttp2 v1.68.1 añade la validación de estado faltante para evitar el fallo de aserción. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en Linux (CVE-2026-23270)
Fecha de publicación:
18/03/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net/sched: Solo permitir que act_ct se vincule a qdiscs clsact/de entrada y bloques compartidos<br /> <br /> Como Paolo dijo anteriormente [1]:<br /> <br /> &amp;#39;Desde el commit culpado a continuación, classify puede devolver TC_ACT_CONSUMED mientras el skb actual está siendo retenido por el motor de desfragmentación. Según lo informado por GangMin Kim, si dicho paquete es uno que puede causar un UaF cuando el motor de desfragmentación más tarde intente tocar de nuevo dicho paquete.&amp;#39;<br /> <br /> act_ct nunca estuvo destinado a ser usado en la ruta de salida, sin embargo, algunos usuarios lo están adjuntando a la salida hoy [2]. Intentando llegar a un punto intermedio, notamos que, mientras que la mayoría de los qdiscs no están manejando TC_ACT_CONSUMED, los qdiscs clsact/de entrada sí lo están. Con eso en mente, abordamos el problema permitiendo solo que act_ct se vincule a qdiscs clsact/de entrada y bloques compartidos. De esa manera, todavía es posible adjuntar act_ct a la salida (aunque solo con clsact).<br /> <br /> [1] https://lore.kernel.org/netdev/674b8cbfc385c6f37fb29a1de08d8fe5c2b0fbee.1771321118.git.pabeni@redhat.com/<br /> [2] https://lore.kernel.org/netdev/cc6bfb4a-4a2b-42d8-b9ce-7ef6644fb22b@ovn.org/
Gravedad CVSS v3.1: ALTA
Última modificación:
02/04/2026
Suscribirse a Vulnerabilidades