Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Tautulli (CVE-2026-31799)
Fecha de publicación:
30/03/2026
Idioma:
Español
Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Server. Desde la versión 2.14.2 hasta antes de la versión 2.17.0 para los parámetros 'before' y 'after', y desde la versión 2.1.0-beta hasta antes de la versión 2.17.0 para los parámetros 'section_id' y 'user_id', el endpoint /api/v2?cmd=get_home_stats pasa los parámetros de consulta section_id, user_id, before y after directamente a SQL a través del formato de cadena % de Python sin parametrización. Un atacante que posee la clave API de administrador de Tautulli puede inyectar SQL arbitrario y exfiltrar cualquier valor de la base de datos SQLite de Tautulli mediante inferencia booleana a ciegas. Este problema ha sido parcheado en la versión 2.17.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/04/2026

Vulnerabilidad en Roo Code (CVE-2026-30307)
Fecha de publicación:
30/03/2026
Idioma:
Español
El módulo de autoaprobación de comandos de Roo Code contiene una vulnerabilidad crítica de inyección de comandos del sistema operativo que hace que su mecanismo de seguridad de lista blanca sea completamente ineficaz. El sistema se basa en expresiones regulares frágiles para analizar estructuras de comandos; si bien intenta interceptar operaciones peligrosas, no tiene en cuenta la sustitución de comandos estándar de Shell Roo Code (específicamente $(...) y las comillas invertidas ...). Un atacante puede construir un comando como 'git log --grep="$(malicious_command)"', lo que obliga a Syntx a identificarlo erróneamente como una operación git segura y aprobarlo automáticamente. El Shell subyacente prioriza la ejecución del código malicioso inyectado dentro de los argumentos, lo que resulta en ejecución remota de código sin ninguna interacción del usuario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/04/2026

Vulnerabilidad en Syntx (CVE-2026-30305)
Fecha de publicación:
30/03/2026
Idioma:
Español
El módulo de autoaprobación de comandos de Syntx contiene una vulnerabilidad crítica de inyección de comandos del sistema operativo que hace que su mecanismo de seguridad de lista blanca sea completamente ineficaz. El sistema se basa en expresiones regulares frágiles para analizar estructuras de comandos; si bien intenta interceptar operaciones peligrosas, no tiene en cuenta la sintaxis estándar de sustitución de comandos de Shell (específicamente $(...) y acentos graves ...). Un atacante puede construir un comando como 'git log --grep="$(malicious_command)"', lo que obliga a Syntx a identificarlo erróneamente como una operación git segura y aprobarlo automáticamente. La Shell subyacente prioriza la ejecución del código malicioso inyectado dentro de los argumentos, lo que resulta en ejecución remota de código sin ninguna interacción del usuario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/04/2026

Vulnerabilidad en Tautulli (CVE-2026-31804)
Fecha de publicación:
30/03/2026
Idioma:
Español
Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Server. Antes de la versión 2.17.0, el endpoint /pms_image_proxy acepta un parámetro 'img' proporcionado por el usuario y lo reenvía al transcodificador /photo/:/ transcode de Plex Media Server sin autenticación y sin restringir el esquema o el host. El endpoint está intencionalmente excluido de todas las comprobaciones de autenticación en webstart.py, cualquier valor de 'img' que comience con HTTP se pasa directamente a Plex, esto hace que el proceso de Plex Media Server, que normalmente se ejecuta en el mismo host o red interna que Tautulli, con acceso al espacio de direcciones RFC-1918, emita una solicitud HTTP saliente a cualquier URL especificada por el atacante. Este problema ha sido parcheado en la versión 2.17.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/04/2026

Vulnerabilidad en Tautulli (CVE-2026-28505)
Fecha de publicación:
30/03/2026
Idioma:
Español
Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Servidor. Antes de la versión 2.17.0, la función str_eval() en notification_handler.py implementa un eval() en sandbox para plantillas de texto de notificación. El sandbox intenta restringir los nombres invocables inspeccionando code.co_names del objeto de código compilado. Sin embargo, co_names solo contiene nombres del objeto de código externo. Cuando se utiliza una expresión lambda, esta crea un objeto de código anidado cuyos accesos a atributos se almacenan en code.co_consts, NO en code.co_names. El sandbox nunca inspecciona objetos de código anidados. Este problema ha sido parcheado en la versión 2.17.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en node de nodejs (CVE-2026-21717)
Fecha de publicación:
30/03/2026
Idioma:
Español
Un fallo en el mecanismo de hash de cadenas de V8 hace que las cadenas similares a enteros se les aplique hash a su valor numérico, haciendo que las colisiones de hash sean trivialmente predecibles. Al elaborar una solicitud que causa muchas de estas colisiones en la tabla interna de cadenas de V8, un atacante puede degradar significativamente el rendimiento del proceso de Node.js.<br /> <br /> El desencadenante más común es cualquier punto final que llama a `JSON.parse()` en la entrada controlada por el atacante, ya que el análisis JSON internaliza automáticamente cadenas cortas en la tabla hash afectada.<br /> <br /> Esta vulnerabilidad afecta a 20.x, 22.x, 24.x y 25.x.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en node de nodejs (CVE-2026-21711)
Fecha de publicación:
30/03/2026
Idioma:
Español
Un fallo en la aplicación de red del Modelo de Permisos de Node.js deja las operaciones del servidor de Sockets de Dominio Unix (UDS) sin las comprobaciones de permisos requeridas, mientras que todas las rutas de red comparables las aplican correctamente.<br /> <br /> Como resultado, el código que se ejecuta bajo --permission sin --allow-net puede crear y exponer puntos finales IPC locales, permitiendo la comunicación con otros procesos en el mismo host fuera del límite de restricción de red previsto.<br /> <br /> Esta vulnerabilidad afecta a los procesos de Node.js 25.x que utilizan el Modelo de Permisos donde se omite intencionadamente --allow-net para restringir el acceso a la red. Tenga en cuenta que --allow-net es actualmente una característica experimental.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en node de nodejs (CVE-2026-21715)
Fecha de publicación:
30/03/2026
Idioma:
Español
Una falla en la aplicación del modelo de permisos del sistema de archivos de Node.js deja a &amp;#39;fs.realpathSync.native()&amp;#39; sin las comprobaciones de permisos de lectura requeridas, mientras que todas las funciones comparables del sistema de archivos las aplican correctamente.<br /> <br /> Como resultado, el código que se ejecuta bajo &amp;#39;--permission&amp;#39; con &amp;#39;--allow-fs-read&amp;#39; restringido aún puede usar &amp;#39;fs.realpathSync.native()&amp;#39; para verificar la existencia de archivos, resolver destinos de enlaces simbólicos y enumerar rutas del sistema de archivos fuera de los directorios permitidos.<br /> <br /> Esta vulnerabilidad afecta a los procesos 20.x, 22.x, 24.x y 25.x que utilizan el Modelo de Permisos donde &amp;#39;--allow-fs-read&amp;#39; está restringido intencionalmente.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/04/2026

Vulnerabilidad en node de nodejs (CVE-2026-21713)
Fecha de publicación:
30/03/2026
Idioma:
Español
Un fallo en la verificación HMAC de Node.js utiliza una comparación de tiempo no constante al validar firmas proporcionadas por el usuario, filtrando potencialmente información de temporización proporcional al número de bytes coincidentes. Bajo ciertos modelos de amenaza donde las mediciones de temporización de alta resolución son posibles, este comportamiento podría ser explotado como un oráculo de temporización para inferir valores HMAC.<br /> <br /> Node.js ya proporciona primitivas de comparación seguras contra ataques de temporización utilizadas en otras partes de la base de código, lo que indica que esto es un descuido en lugar de una decisión de diseño intencional.<br /> <br /> Esta vulnerabilidad afecta 20.x, 22.x, 24.x y 25.x.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en node de nodejs (CVE-2026-21714)
Fecha de publicación:
30/03/2026
Idioma:
Español
Se produce una fuga de memoria en servidores HTTP/2 de Node.js cuando un cliente envía tramas WINDOW_UPDATE en el flujo 0 (a nivel de conexión) que hacen que la ventana de control de flujo exceda el valor máximo de 2³¹-1. El servidor envía correctamente una trama GOAWAY, pero el objeto Http2Session nunca se limpia.<br /> <br /> Esta vulnerabilidad afecta a los usuarios de HTTP2 en Node.js 20, 22, 24 y 25.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en node de nodejs (CVE-2026-21716)
Fecha de publicación:
30/03/2026
Idioma:
Español
Una solución incompleta para CVE-2024-36137 deja `FileHandle.chmod()` y `FileHandle.chown()` en la API de promesas sin las comprobaciones de permisos requeridas, mientras que sus equivalentes basados en callbacks (`fs.fchmod()`, `fs.fchown()`) fueron parcheados correctamente.<br /> <br /> Como resultado, el código que se ejecuta bajo `--permission` con `--allow-fs-write` restringido aún puede usar métodos `FileHandle` basados en promesas para modificar los permisos y la propiedad de los archivos en descriptores de archivo ya abiertos, eludiendo las restricciones de escritura previstas.<br /> <br /> Esta vulnerabilidad afecta a los procesos 20.x, 22.x, 24.x y 25.x que utilizan el Modelo de Permisos donde `--allow-fs-write` está restringido intencionalmente.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/04/2026

Vulnerabilidad en node de nodejs (CVE-2026-21710)
Fecha de publicación:
30/03/2026
Idioma:
Español
Un fallo en el manejo de solicitudes HTTP de Node.js provoca un &amp;#39;TypeError&amp;#39; no capturado cuando se recibe una solicitud con un encabezado llamado &amp;#39;__proto__&amp;#39; y la aplicación accede a &amp;#39;req.headersDistinct&amp;#39;.<br /> <br /> Cuando esto ocurre, &amp;#39;dest["__proto__"]&amp;#39; se resuelve como &amp;#39;Object.prototype&amp;#39; en lugar de &amp;#39;undefined&amp;#39;, lo que provoca que se llame a &amp;#39;.push()&amp;#39; en un no-array. Esta excepción se lanza sincrónicamente dentro de un accesor de propiedad y no puede ser interceptada por los oyentes de eventos &amp;#39;error&amp;#39;, lo que significa que no puede ser manejada sin envolver cada acceso a &amp;#39;req.headersDistinct&amp;#39; en un &amp;#39;try/catch&amp;#39;.<br /> <br /> * Esta vulnerabilidad afecta a todos los servidores HTTP de Node.js en 20.x, 22.x, 24.x y v25.x
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026
Suscribirse a Vulnerabilidades