Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-27933
Fecha de publicación:
26/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Manyfold is an open source, self-hosted web application for managing a collection of 3d models, particularly focused on 3d printing. Versions prior to 0.133.0 are vulnerable to session hijack via cookie leakage in proxy caches. Version 0.133.0 fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

CVE-2026-27808
Fecha de publicación:
26/02/2026
Idioma:
Español
Mailpit es una herramienta de prueba de correo electrónico y API para desarrolladores. Antes de la versión 1.29.2, la API de verificación de enlaces (Link Check API) (/api/v1/message/{ID}/link-check) es vulnerable a la falsificación de petición del lado del servidor (SSRF). El servidor realiza peticiones HTTP HEAD a cada URL encontrada en un correo electrónico sin validar los hosts de destino ni filtrar las direcciones IP privadas/internas. La respuesta devuelve códigos de estado y texto de estado por enlace, lo que la convierte en una SSRF no ciega. En la configuración predeterminada (sin autenticación en SMTP o API), esto es totalmente explotable de forma remota con cero interacción del usuario. Esta es la misma clase de vulnerabilidad que se corrigió en la API de verificación de HTML (HTML Check API) (CVE-2026-23845 / GHSA-6jxm-fv7w-rw5j) y el proxy de captura de pantalla (CVE-2026-21859 / GHSA-8v65-47jx-7mfr), pero la ruta de código de verificación de enlaces (Link Check) no se incluyó en ninguna de las correcciones. La versión 1.29.2 corrige esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

CVE-2026-27821
Fecha de publicación:
26/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** GPAC is an open-source multimedia framework. In versions up to and including 26.02.0, a stack buffer overflow occurs during NHML file parsing in `src/filters/dmx_nhml.c`. The value of the xmlHeaderEnd XML attribute is copied from att->value into szXmlHeaderEnd[1000] using strcpy() without any length validation. If the input exceeds 1000 bytes, it overwrites beyond the stack buffer boundary. Commit 9bd7137fded2db40de61a2cf3045812c8741ec52 patches the issue.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/02/2026

CVE-2026-27735
Fecha de publicación:
26/02/2026
Idioma:
Español
Servidores de Protocolo de Contexto de Modelo es una colección de implementaciones de referencia para el protocolo de contexto de modelo (MCP). En versiones de mcp-server-git anteriores a 2026.1.14, la herramienta git_add no validaba que las rutas de archivo proporcionadas en el argumento files estuvieran dentro de los límites del repositorio. Debido a que la herramienta utilizaba repo.index.add() de GitPython en lugar de la CLI de Git, las rutas relativas que contenían secuencias '../' que se resolvían fuera del repositorio eran aceptadas y preparadas en el índice de Git. Se aconseja a los usuarios que actualicen a la versión 2026.1.14 o posterior para solucionar este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

CVE-2026-27798
Fecha de publicación:
26/02/2026
Idioma:
Español
ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, ocurre una vulnerabilidad de lectura excesiva del búfer de pila al procesar una imagen con dimensiones pequeñas utilizando el operador -wavelet-denoise. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

CVE-2026-27799
Fecha de publicación:
26/02/2026
Idioma:
Español
ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, existe una vulnerabilidad de lectura excesiva de búfer de pila en el gestor del formato de imagen DJVU. La vulnerabilidad ocurre debido a un truncamiento de enteros al calcular el 'stride' (tamaño de fila) para la asignación del búfer de píxeles. El cálculo del 'stride' desborda un entero con signo de 32 bits, lo que resulta en lecturas de memoria fuera de límites. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

CVE-2026-27800
Fecha de publicación:
26/02/2026
Idioma:
Español
Zed, un editor de código, presenta una vulnerabilidad de Zip Slip (salto de ruta) en su funcionalidad de extracción de archivos de extensión anterior a la versión 0.224.4. La función 'extract_zip()' en 'crates/util/src/archive.rs' no valida los nombres de archivo de las entradas ZIP en busca de secuencias de salto de ruta (por ejemplo, '../'). Esto permite que una extensión maliciosa escriba archivos fuera de su directorio sandbox designado al descargar y extraer un archivo ZIP manipulado. La versión 0.224.4 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

CVE-2026-27804
Fecha de publicación:
26/02/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede implementarse en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.3 y 9.1.1-alpha.4, un atacante no autenticado puede falsificar un token de autenticación de Google con 'alg: "none"' para iniciar sesión como cualquier usuario vinculado a una cuenta de Google, sin conocer sus credenciales. Todas las implementaciones con autenticación de Google habilitada se ven afectadas. La corrección en las versiones 8.6.3 y 9.1.1-alpha.4 codifica de forma rígida el algoritmo 'RS256' esperado en lugar de confiar en el encabezado JWT, y reemplaza el recuperador de claves personalizado del adaptador de Google con 'jwks-rsa' que rechaza los ID de clave desconocidos. Como solución alternativa, deshabilite la autenticación de Google hasta que sea posible la actualización.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
26/02/2026

CVE-2026-27633
Fecha de publicación:
26/02/2026
Idioma:
Español
TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Las versiones anteriores a la versión 2.02 tienen una vulnerabilidad de denegación de servicio (DoS) a través del agotamiento de la memoria. Atacantes remotos no autenticados pueden enviar una solicitud POST HTTP al servidor con una cabecera 'Content-Length' excepcionalmente grande (p. ej., '2147483647'). El servidor asigna continuamente memoria para el cuerpo de la solicitud ('EntityBody') mientras transmite la carga útil sin imponer ningún límite máximo, lo que lleva a que toda la memoria disponible sea consumida y provoca la caída del servidor. Cualquiera que aloje servicios usando TinyWeb se ve afectado. La versión 2.02 corrige el problema. El parche introduce un límite 'CMaxEntityBodySize' (establecido en 10MB) para el tamaño máximo de las cargas útiles aceptadas. Como solución alternativa temporal si la actualización no es posible de inmediato, considere colocar el servidor detrás de un Cortafuegos de Aplicaciones Web (WAF) o un proxy inverso (como nginx o Cloudflare) configurado para limitar explícitamente el tamaño máximo permitido del cuerpo de la solicitud HTTP (p. ej., 'client_max_body_size' en nginx).
Gravedad CVSS v4.0: ALTA
Última modificación:
26/02/2026

CVE-2026-27635
Fecha de publicación:
26/02/2026
Idioma:
Español
Manyfold es una aplicación web de código abierto y autoalojada para gestionar una colección de modelos 3D, particularmente enfocada en la impresión 3D. Antes de la versión 0.133.0, cuando la generación de renderizados de modelos está habilitada, un usuario autenticado puede lograr RCE al subir un archivo ZIP que contiene un archivo con un metacaracter de shell en su nombre. El nombre del archivo llega a una llamada de backtick de Ruby sin sanear. La versión 0.133.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

CVE-2026-27709
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y anteriores a las versiones 6.0.1638.0 y 6.5.1638.0, el analizador de 'Aplicación de Archivo Único .NET' de NanaZip tiene una vulnerabilidad de lectura fuera de límites en el análisis del manifiesto. Un paquete manipulado puede proporcionar una 'RelativePathLength' malformada de modo que el analizador construye un 'std::string' a partir de memoria más allá de 'HeaderBuffer', lo que lleva a un fallo y a una posible divulgación de memoria en proceso. Las versiones 6.0.1638.0 y 6.5.1638.0 solucionan el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

CVE-2026-27710
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y anterior a las versiones 6.0.1638.0 y 6.5.1638.0, existe una vulnerabilidad de denegación de servicio en el analizador de 'aplicación de archivo único .NET' de NanaZip. Un paquete manipulado puede forzar un desbordamiento negativo de enteros en el cálculo del tamaño de la cabecera y desencadenar un intento de asignación de memoria ilimitada durante la apertura del archivo. Las versiones 6.0.1638.0 y 6.5.1638.0 corrigen el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026
Suscribirse a Vulnerabilidades