Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PlaciPy (CVE-2026-25876)
Fecha de publicación:
09/02/2026
Idioma:
Español
PlaciPy es un sistema de gestión de prácticas diseñado para instituciones educativas. En la versión 1.0.0, el archivo backend/src/routes/results.routes.ts verifica la autenticación pero no logra aplicar la autorización a nivel de objeto (verificaciones de propiedad). Por ejemplo, esto puede ser utilizado para devolver todos los resultados de una evaluación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en FroshPlatformAdminer (CVE-2026-25878)
Fecha de publicación:
09/02/2026
Idioma:
Español
FroshAdminer es el plugin de Adminer para la plataforma Shopware. Antes de la versión 2.2.1, la ruta de Adminer (/admin/adminer) era accesible sin autenticación de administrador de Shopware. La ruta estaba configurada con auth_required=false y no realizaba ninguna validación de sesión, exponiendo la interfaz de usuario de Adminer a usuarios no autenticados. Esta vulnerabilidad se corrige en la versión 2.2.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en Nixpkgs de NixOS (CVE-2026-25740)
Fecha de publicación:
09/02/2026
Idioma:
Español
navegador cautivo, una instancia dedicada de Chrome para iniciar sesión en portales cautivos sin alterar la configuración de DNS. En 25.05 y anteriores, cuando programs.captive-browser está habilitado, cualquier usuario del sistema puede ejecutar comandos arbitrarios con la capacidad CAP_NET_RAW (enlazando a puertos privilegiados, suplantando tráfico de localhost desde servicios privilegiados...). Esta vulnerabilidad está corregida en 25.11 y 26.05.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en Super-linter (CVE-2026-25761)
Fecha de publicación:
09/02/2026
Idioma:
Español
Super-linter es una combinación de múltiples linters para ejecutar como una Acción de GitHub o de forma independiente. Desde la 6.0.0 hasta la 8.3.0, la Acción de GitHub Super-linter es vulnerable a inyección de comandos a través de nombres de archivo manipulados. Cuando esta acción se utiliza en flujos de trabajo de GitHub Actions posteriores, un atacante puede enviar una solicitud de extracción que introduce un archivo cuyo nombre contiene sintaxis de sustitución de comandos de shell, como $(...). En las versiones afectadas de Super-linter, los scripts en tiempo de ejecución pueden ejecutar el comando incrustado durante el procesamiento de descubrimiento de archivos, lo que permite la ejecución arbitraria de comandos en el contexto del ejecutor del flujo de trabajo. Esto puede usarse para divulgar el GITHUB_TOKEN del trabajo dependiendo de cómo el flujo de trabajo configure los permisos. Esta vulnerabilidad se corrige en la 8.3.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en PlaciPy (CVE-2026-25806)
Fecha de publicación:
09/02/2026
Idioma:
Español
PlaciPy es un sistema de gestión de prácticas diseñado para instituciones educativas. En la versión 1.0.0, las rutas GET /api/students/:email, PUT /api/students/:email/status y DELETE /api/students/:email en backend/src/routes/student.routes.ts solo aplican autenticación usando authenticateToken pero no aplican autorización. La aplicación no verifica si el usuario autenticado es propietario del registro de estudiante al que se accede, tiene un rol administrativo / de personal, o tiene permiso para modificar o eliminar al estudiante objetivo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en PlaciPy (CVE-2026-25809)
Fecha de publicación:
09/02/2026
Idioma:
Español
PlaciPy es un sistema de gestión de prácticas diseñado para instituciones educativas. En la versión 1.0.0, el punto final de evaluación de código no valida el estado del ciclo de vida de la evaluación antes de permitir la ejecución. No hay una verificación para garantizar que la evaluación ha comenzado, no ha caducado o la ventana de envío está actualmente abierta.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en Axios (CVE-2026-25639)
Fecha de publicación:
09/02/2026
Idioma:
Español
Axios es un cliente HTTP basado en promesas para el navegador y Node.js. Antes de la versión 1.13.5, la función mergeConfig en axios falla con un TypeError al procesar objetos de configuración que contienen __proto__ como propiedad propia. Un atacante puede desencadenar esto proporcionando un objeto de configuración malicioso creado a través de JSON.parse(), causando una denegación de servicio completa. Esta vulnerabilidad se corrigió en la versión 1.13.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Sliver (CVE-2026-25765)
Fecha de publicación:
09/02/2026
Idioma:
Español
Faraday es una capa de abstracción de biblioteca cliente HTTP que proporciona una interfaz común sobre muchos adaptadores. Antes de la versión 2.14.1, el método build_exclusive_url de Faraday (en lib/faraday/connection.rb) utiliza URI#merge de Ruby para combinar la URL base de la conexión con una ruta proporcionada por el usuario. Según la RFC 3986, las URL relativas al protocolo (por ejemplo, //evil.com/path) se tratan como referencias de ruta de red que anulan el componente de host/autoridad de la URL base. Esto significa que si alguna aplicación pasa entrada controlada por el usuario a los métodos get(), post(), build_url() u otros métodos de petición de Faraday, un atacante puede proporcionar una URL relativa al protocolo como //attacker.com/endpoint para redirigir la petición a un host arbitrario, lo que permite la falsificación de petición del lado del servidor (SSRF). Esta vulnerabilidad se corrige en la versión 2.14.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en Sliver (CVE-2026-25791)
Fecha de publicación:
09/02/2026
Idioma:
Español
Sliver es un framework de comando y control que utiliza un netstack Wireguard personalizado. Antes de la versión 1.7.0, el oyente DNS C2 acepta mensajes de arranque TOTP no autenticados y asigna sesiones DNS del lado del servidor sin validar los valores OTP, incluso cuando EnforceOTP está habilitado. Dado que las sesiones se almacenan sin una ruta de limpieza/caducidad en este flujo, un actor remoto no autenticado puede crear sesiones repetidamente y provocar el agotamiento de la memoria. Esta vulnerabilidad se corrige en la versión 1.7.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en LangSmith Client SDK (CVE-2026-25528)
Fecha de publicación:
09/02/2026
Idioma:
Español
Los SDKs del cliente de LangSmith proporcionan SDKs para interactuar con la plataforma LangSmith. La característica de trazado distribuido del SDK de LangSmith es vulnerable a la falsificación de petición del lado del servidor a través de encabezados HTTP maliciosos. Un atacante puede inyectar valores arbitrarios de api_url a través del encabezado 'baggage', haciendo que el SDK exfiltre datos de traza sensibles a puntos finales controlados por el atacante. Al usar el trazado distribuido, el SDK analiza los encabezados HTTP entrantes a través de RunTree.from_headers() en Python o RunTree.fromHeaders() en Typescript. El encabezado 'baggage' puede contener configuraciones de réplica, incluyendo los campos api_url y api_key. Antes de la corrección, estos valores controlados por el atacante eran aceptados sin validación. Cuando una operación trazada se completa, los métodos post() y patch() del SDK envían datos de ejecución a todas las URLs de réplica configuradas, incluyendo cualquiera inyectada por un atacante. Esta vulnerabilidad está corregida en la versión 0.6.3 del SDK de Python y 0.4.6 del SDK de JavaScript.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en CCExtractor (CVE-2026-2245)
Fecha de publicación:
09/02/2026
Idioma:
Español
Una vulnerabilidad fue identificada en CCExtractor hasta 183. Esto afecta la función parse_PAT/parse_PMT en la biblioteca src/lib_ccx/ts_tables.c del componente MPEG-TS File Parser. Dicha manipulación conduce a lectura fuera de límites. El ataque solo puede realizarse desde un entorno local. El exploit está disponible públicamente y podría ser utilizado. El nombre del parche es fd7271bae238ccb3ae8a71304ea64f0886324925. Es una buena práctica aplicar un parche para resolver este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en AprilRobotics (CVE-2026-2246)
Fecha de publicación:
09/02/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en AprilRobotics apriltag hasta 3.4.5. Afectada por esta vulnerabilidad es la función apriltag_detector_detect del archivo apriltag.c. La manipulación conduce a corrupción de memoria. El ataque debe ser llevado a cabo localmente. El exploit ha sido divulgado públicamente y puede ser usado. El identificador del parche es cfac2f5ce1ffe2de25967eb1ab80bc5d99fc1a61. Se sugiere instalar un parche para abordar este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026
Suscribirse a Vulnerabilidades