Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-4472
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en itsourcecode Online Frozen Foods Ordering System 1.0. Esta vulnerabilidad afecta código desconocido del archivo /admin/admin_edit_supplier.PHP. La manipulación del argumento Supplier_Name lleva a inyección SQL. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

CVE-2026-33035
Fecha de publicación:
20/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, existe una vulnerabilidad de XSS reflejado que permite a atacantes no autenticados ejecutar JavaScript arbitrario en el navegador de una víctima. La entrada del usuario de un parámetro de URL fluye a través de json_encode() de PHP hacia una función de JavaScript que lo renderiza mediante innerHTML, omitiendo la codificación y logrando la ejecución completa del script. La vulnerabilidad es causada por dos problemas que trabajan juntos: entrada de usuario sin escapar pasada a JavaScript (videoNotFound.php), y innerHTML renderizando etiquetas HTML como DOM ejecutable (script.js). El ataque puede escalarse para robar cookies de sesión, tomar el control de cuentas, suplantar credenciales mediante formularios de inicio de sesión inyectados, propagar cargas útiles auto-propagantes y comprometer cuentas de administrador — todo explotando la falta de sanitización adecuada de la entrada y la seguridad de las cookies (p. ej., la ausencia de la bandera HttpOnly en PHPSESSID). El problema ha sido solucionado en la versión 26.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

CVE-2026-4469
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en itsourcecode Online Frozen Foods Ordering System 1.0. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /admin/admin_edit_menu_action.php. Tal manipulación del argumento product_name lleva a inyección SQL. El ataque puede ser realizado desde remoto. El exploit está disponible públicamente y podría ser usado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

CVE-2026-4470
Fecha de publicación:
20/03/2026
Idioma:
Español
Una falla de seguridad ha sido descubierta en itsourcecode Online Frozen Foods Ordering System 1.0. Afectada por este problema es alguna funcionalidad desconocida del archivo /admin/admin_edit_menu.PHP. Realizar una manipulación del argumento product_name resulta en inyección SQL. Es posible iniciar el ataque remotamente. El exploit ha sido liberado al público y puede ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

CVE-2026-4471
Fecha de publicación:
20/03/2026
Idioma:
Español
Se ha identificado una debilidad en itsourcecode Online Frozen Foods Ordering System 1.0. Esto afecta una parte desconocida del archivo /admin/admin_edit_employee.PHP. La ejecución de una manipulación del argumento First_Name puede conducir a inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha puesto a disposición del público y podría utilizarse para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

CVE-2026-33011
Fecha de publicación:
20/03/2026
Idioma:
Español
Nest es un framework para construir aplicaciones escalables de servidor Node.js. En las versiones 11.1.15 e inferiores, una aplicación NestJS que utiliza el middleware GET de @nestjs/platform-fastify puede ser eludida porque Fastify redirige automáticamente las solicitudes HEAD a los gestores GET correspondientes (si existen). Como resultado: el middleware será completamente omitido, la respuesta HTTP no incluirá un cuerpo (ya que la respuesta se trunca al redirigir una solicitud HEAD a un gestor GET), y el gestor real seguirá ejecutándose. Este problema está solucionado en la versión 11.1.16.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

CVE-2026-33012
Fecha de publicación:
20/03/2026
Idioma:
Español
Micronaut Framework es un framework Java de pila completa basado en JVM diseñado para construir aplicaciones JVM modulares y fácilmente testeables. Las versiones 4.7.0 a la 4.10.16 usaban una caché ConcurrentHashMap ilimitada sin política de desalojo en su DefaultHtmlErrorResponseBodyProvider. Si la aplicación lanza una excepción cuyo mensaje puede ser influenciado por un atacante, (por ejemplo, incluyendo parámetros de valor de consulta de solicitud) podría ser usado por atacantes remotos para causar un crecimiento de heap ilimitado y OutOfMemoryError, lo que lleva a DoS. Este problema ha sido solucionado en la versión 4.10.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

CVE-2026-33013
Fecha de publicación:
20/03/2026
Idioma:
Español
Micronaut Framework es un framework Java de pila completa basado en JVM diseñado para construir aplicaciones JVM modulares y fácilmente testeables. Las versiones anteriores a la 4.10.16 y a la 3.10.5 no manejan correctamente el orden descendente de los índices de array durante la vinculación del cuerpo form-urlencoded en JsonBeanPropertyBinder::expandArrayToThreshold, lo que permite a atacantes remotos causar un DoS (bucle no terminante, agotamiento de CPU y OutOfMemoryError) a través de parámetros de formulario indexados manipulados (p. ej., authors[1].name seguido de authors[0].name). Este problema ha sido solucionado en las versiones 4.10.16 y 3.10.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

CVE-2026-33017
Fecha de publicación:
20/03/2026
Idioma:
Español
Langflow es una herramienta para construir y desplegar agentes y flujos de trabajo impulsados por IA. En versiones anteriores a la 1.9.0, el endpoint POST /api/v1/build_public_tmp/{flow_id}/flow permite construir flujos públicos sin requerir autenticación. Cuando se suministra el parámetro opcional data, el endpoint utiliza datos de flujo controlados por el atacante (que contienen código Python arbitrario en las definiciones de nodos) en lugar de los datos de flujo almacenados en la base de datos. Este código se pasa a exec() sin ningún sandboxing, lo que resulta en una ejecución remota de código no autenticada. Esto es distinto de CVE-2025-3248, que corrigió /api/v1/validate/code añadiendo autenticación. El endpoint build_public_tmp está diseñado para no requerir autenticación (para flujos públicos) pero acepta incorrectamente datos de flujo suministrados por el atacante que contienen código ejecutable arbitrario. Este problema ha sido solucionado en la versión 1.9.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/03/2026

CVE-2026-33024
Fecha de publicación:
20/03/2026
Idioma:
Español
AVideo es una plataforma para compartir videos. Las versiones anteriores a la 8.0 contienen una vulnerabilidad de falsificación de petición del lado del servidor (CWE-918) en los puntos finales públicos de miniaturas getImage.php y getImageMP4.php. Ambos puntos finales aceptan un parámetro GET base64Url, lo decodifican en base64 y pasan la URL resultante a ffmpeg como fuente de entrada sin ningún requisito de autenticación. La validación previa solo verificaba que la URL fuera sintácticamente válida (FILTER_VALIDATE_URL) y comenzara con http(s)://. Esto es insuficiente: un atacante puede proporcionar URLs como http://169.254.169.254/latest/meta-data/ (metadatos de instancia de AWS/nube), http://192.168.x.x/, o http://127.0.0.1/ para hacer que el servidor acceda a recursos de red internos. La respuesta no se devuelve directamente (ciega), pero las diferencias de tiempo y los registros de errores pueden usarse para inferir resultados. El problema ha sido solucionado en la versión 8.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/03/2026

CVE-2026-33025
Fecha de publicación:
20/03/2026
Idioma:
Español
AVideo es una plataforma para compartir videos. Las versiones anteriores a la 8.0 contienen una vulnerabilidad de inyección SQL en el método getSqlFromPost() de Object.php. Las claves del array $_POST['sort'] se utilizan directamente como identificadores de columna SQL dentro de una cláusula ORDER BY. Aunque se aplicó real_escape_string(), solo escapa caracteres de contexto de cadena (comillas, bytes nulos) y no proporciona protección para los identificadores SQL — lo que la hace completamente ineficaz aquí. Este problema se ha solucionado en la versión 8.0. Para solucionar este problema sin actualizar, los operadores pueden aplicar una regla de WAF para bloquear solicitudes POST donde cualquier clave sort[*] contenga caracteres fuera de [A-Za-z0-9_]. Alternativamente, restringir el acceso a la vista de cola (queue.json.php, index.php) solo a rangos de IP de confianza.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

CVE-2026-32949
Fecha de publicación:
20/03/2026
Idioma:
Español
SQLBot es un sistema inteligente de consulta de datos basado en un modelo de lenguaje grande y RAG. Las versiones anteriores a la 1.7.0 contienen una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) que permite a un atacante recuperar archivos arbitrarios del sistema y de la aplicación del servidor. Un atacante puede explotar el endpoint /api/v1/datasource/check configurando una fuente de datos MySQL falsificada con un parámetro malicioso extraJdbc='local_infile=1'. Cuando el backend de SQLBot intenta verificar la conectividad de esta fuente de datos, un servidor MySQL Rogue controlado por el atacante emite un comando LOAD DATA LOCAL INFILE malicioso durante el handshake de MySQL. Esto obliga al servidor objetivo a leer archivos arbitrarios de su sistema de archivos local (como /etc /passwd o archivos de configuración) y a transmitir el contenido de vuelta al atacante. Este problema fue solucionado en la versión 1.7.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026
Suscribirse a Vulnerabilidades