Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-2428
Fecha de publicación:
27/02/2026
Idioma:
Español
El plugin Fluent Forms Pro Add On Pack para WordPress es vulnerable a la Verificación Insuficiente de Autenticidad de Datos en todas las versiones hasta la 6.1.17, inclusive. Esto se debe a que la verificación de PayPal IPN (Notificación Instantánea de Pago) está deshabilitada por defecto (disable_ipn_verification tiene un valor predeterminado de 'yes' en PayPalSettings.php). Esto permite que atacantes no autenticados envíen notificaciones PayPal IPN falsificadas al endpoint IPN de acceso público, marcando las entregas de formularios no pagadas como 'pagadas' y activando la automatización posterior al pago (correos electrónicos, concesión de accesos, entrega de productos digitales).
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-3286
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad fue identificada en itwanger paicoding 1.0.0/1.0.1/1.0.2/1.0.3. El elemento afectado es la función Save del archivo paicoding-web/src/main/java/com/github/paicoding/forum/web/common/image/rest/ImageRestController.java del componente Image Save Endpoint. Dicha manipulación del argumento img conduce a falsificación de petición del lado del servidor. El ataque puede ser lanzado remotamente. El exploit está disponible públicamente y podría ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

CVE-2026-28363
Fecha de publicación:
27/02/2026
Idioma:
Español
En OpenClaw antes de 2026.2.23, la validación de tools.exec.safeBins para sort podría ser eludida a través de abreviaturas de opciones largas de GNU (como --compress-prog) en modo de lista de permitidos, lo que llevaba a rutas de ejecución sin aprobación que estaban destinadas a requerir aprobación. Solo una cadena exacta como --compress-program era denegada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/02/2026

CVE-2026-3284
Fecha de publicación:
27/02/2026
Idioma:
Español
Se encontró una vulnerabilidad en libvips 8.19.0. La función afectada es vips_extract_area_build del archivo libvips/conversion/extract.c. La manipulación del argumento extract_area resulta en desbordamiento de entero. El ataque requiere un enfoque local. El exploit se ha hecho público y podría ser utilizado. El parche se identifica como 24795bb3d19d84f7b6f5ed86451ad556c8f2fe70. Es aconsejable implementar un parche para corregir este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

CVE-2026-3285
Fecha de publicación:
27/02/2026
Idioma:
Español
Se determinó una vulnerabilidad en berry-lang berry hasta la versión 1.1.0. El elemento afectado es la función scan_string del archivo src/be_lexer.c. Esta manipulación causa una lectura fuera de límites. El ataque requiere acceso local. El exploit ha sido divulgado públicamente y puede ser utilizado. Nombre del parche: 7149c59a39ba44feca261b12f06089f265fec176. Aplicar un parche es la acción recomendada para solucionar este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
27/02/2026

CVE-2026-3282
Fecha de publicación:
27/02/2026
Idioma:
Español
Se ha encontrado una falla en libvips 8.19.0. Esta vulnerabilidad afecta a la función vips_unpremultiply_build del archivo libvips/conversion/unpremultiply.c. La ejecución de una manipulación del argumento alpha_band puede llevar a una lectura fuera de límites. El ataque debe ser lanzado localmente. El exploit ha sido publicado y puede ser usado. Este parche se llama 7215ead1e0cd7d3703cc4f5fca06d7d0f4c22b91. Se debe aplicar un parche para remediar este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
27/02/2026

CVE-2026-3283
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en libvips 8.19.0. Este problema afecta la función vips_extract_band_build del archivo libvips/conversion/extract.c. La manipulación del argumento extract_band lleva a lectura fuera de límites. El ataque necesita ser realizado localmente. El exploit ha sido divulgado al público y puede ser usado. El identificador del parche es 24795bb3d19d84f7b6f5ed86451ad556c8f2fe70. Para solucionar este problema, se recomienda desplegar un parche.
Gravedad CVSS v4.0: BAJA
Última modificación:
27/02/2026

CVE-2026-25196
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema al inyectar entrada maliciosa en los campos de SSID y/o contraseña de Wi-Fi, lo cual puede resultar en la ejecución remota de código cuando se procesa la configuración.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-25721
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema mediante la inyección de entrada maliciosa en los campos de nombre de usuario y/o contraseña del servidor de la acción de restauración en la ruta API V1.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-3037
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos del sistema operativo (OS) existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema al modificar una entrada maliciosa inyectada en la URL del servicio SMS de MBird y/o en el código a través de la ruta de utilidad, que luego se procesa durante la configuración del sistema, lo que lleva a la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-3281
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad fue detectada en libvips 8.19.0. Esto afecta la función vips_bandrank_build del archivo libvips/conversion/bandrank.c. Realizar una manipulación del argumento index resulta en desbordamiento de búfer basado en montículo. El ataque debe ser iniciado desde una posición local. El exploit ahora es público y puede ser usado. El parche se llama fd28c5463697712cb0ab116a2c55e4f4d92c4088. Se sugiere instalar un parche para abordar este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

CVE-2026-3275
Fecha de publicación:
27/02/2026
Idioma:
Español
Se ha identificado una debilidad en Tenda F453 1.0.0.3. Esto afecta a la función fromAddressNat del archivo /goform/addressNat del componente httpd. La ejecución de una manipulación del argumento entrys puede conducir a un desbordamiento de búfer. El ataque puede realizarse de forma remota. El exploit se ha puesto a disposición del público y podría ser utilizado para ataques.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades