Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en openDCIM (CVE-2026-28517)
Fecha de publicación:
27/02/2026
Idioma:
Español
openDCIM versión 23.04, a través del commit 4467e9c4, contiene una vulnerabilidad de inyección de comandos del sistema operativo en report_network_map.php. La aplicación recupera el parámetro de configuración 'dot' de la base de datos y lo pasa directamente a exec() sin validación ni saneamiento. Si un atacante puede modificar el valor fac_Config.dot, se pueden ejecutar comandos arbitrarios en el contexto del proceso del servidor web.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
10/03/2026

Vulnerabilidad en openDCIM (CVE-2026-28516)
Fecha de publicación:
27/02/2026
Idioma:
Español
openDCIM versión 23.04, a través del commit 4467e9c4, contiene una vulnerabilidad de inyección SQL en Config::UpdateParameter. Los manejadores install.php y container-install.php pasan la entrada proporcionada por el usuario directamente a sentencias SQL usando interpolación de cadenas sin sentencias preparadas o saneamiento de entrada adecuado. Un usuario autenticado puede ejecutar sentencias SQL arbitrarias contra la base de datos subyacente.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
10/03/2026

Vulnerabilidad en cms de statamic (CVE-2026-28426)
Fecha de publicación:
27/02/2026
Idioma:
Español
Statmatic es un sistema de gestión de contenido (CMS) impulsado por Laravel y Git. Antes de las versiones 5.73.11 y 6.4.0, una vulnerabilidad de XSS almacenado en componentes relacionados con SVG e iconos permite a usuarios autenticados con los permisos adecuados inyectar JavaScript malicioso que se ejecuta cuando es visto por usuarios con mayores privilegios. Esto ha sido corregido en 5.73.11 y 6.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2026

Vulnerabilidad en cms de statamic (CVE-2026-28425)
Fecha de publicación:
27/02/2026
Idioma:
Español
Statmatic es un sistema de gestión de contenido (CMS) impulsado por Laravel y Git. Antes de las versiones 5.73.11 y 6.4.0, un usuario autenticado del panel de control con acceso a entradas habilitadas para Antlers podría lograr ejecución remota de código en el contexto de la aplicación. Eso puede llevar a un compromiso total de la aplicación, incluyendo acceso a configuración sensible, modificación o exfiltración de datos, y potencial impacto en la disponibilidad. La explotación solo es posible donde Antlers se ejecuta en contenido controlado por el usuario—por ejemplo, campos de contenido con Antlers explícitamente habilitado (requiriendo permiso para configurar campos y editar entradas), configuración incorporada que soporta Antlers como la configuración de notificación por correo electrónico de Formularios (requiriendo permiso de configuración), o complementos de terceros que añaden campos habilitados para Antlers a las entradas (por ejemplo, el complemento SEO Pro). En cada caso, el atacante debe tener los permisos relevantes del panel de control. Esto ha sido corregido en 5.73.11 y 6.4.0. Los usuarios de complementos que dependen de Statamic deben asegurarse de que después de actualizar están ejecutando una versión de Statamic parcheada.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2026

Vulnerabilidad en cms de statamic (CVE-2026-28424)
Fecha de publicación:
27/02/2026
Idioma:
Español
Statmatic es un sistema de gestión de contenidos (CMS) impulsado por Laravel y Git. Antes de las versiones 5.73.11 y 6.4.0, las direcciones de correo electrónico de los usuarios se incluían en las respuestas del endpoint de datos del tipo de campo de usuario para los usuarios del panel de control que no tenían el permiso de 'ver usuarios'. Esto se ha corregido en las versiones 5.73.11 y 6.4.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en Statmatic (CVE-2026-28423)
Fecha de publicación:
27/02/2026
Idioma:
Español
Statmatic es un sistema de gestión de contenido (CMS) impulsado por Laravel y Git. Antes de las versiones 5.73.11 y 6.4.0, cuando la manipulación de imágenes de Glide se utiliza en modo inseguro (lo cual no es el predeterminado), el proxy de imágenes puede ser explotado por un usuario no autenticado para hacer que el servidor envíe solicitudes HTTP a URLs arbitrarias, ya sea directamente a través de la URL o mediante la función de marca de agua. Eso puede permitir el acceso a servicios internos, endpoints de metadatos en la nube y otros hosts accesibles desde el servidor. Esto ha sido corregido en las versiones 5.73.11 y 6.4.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en openDCIM (CVE-2026-28515)
Fecha de publicación:
27/02/2026
Idioma:
Español
openDCIM versión 23.04, a través del commit 4467e9c4, contiene una vulnerabilidad de autorización faltante en install.php y container-install.php. El instalador y el gestor de actualización exponen la funcionalidad de configuración LDAP sin aplicar comprobaciones de rol de aplicación. Cualquier usuario autenticado puede acceder a esta funcionalidad independientemente de los privilegios asignados. En implementaciones donde REMOTE_USER está configurado sin aplicación de autenticación, el punto final puede ser accesible sin credenciales. Esto permite la modificación no autorizada de la configuración de la aplicación.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
10/03/2026

Vulnerabilidad en Featured Image from Content de Dhrumil Kumbhani (CVE-2026-27759)
Fecha de publicación:
27/02/2026
Idioma:
Español
Las versiones del plugin de WordPress Featured Image from Content (featured-image-from-content) anteriores a la 1.7 contienen una vulnerabilidad de falsificación de petición del lado del servidor autenticada que permite a usuarios con nivel de Autor recuperar recursos HTTP internos. Los atacantes pueden explotar la obtención insegura de URL y las operaciones de escritura de archivos para recuperar datos internos sensibles y almacenarlos en directorios de carga accesibles desde la web.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026

Vulnerabilidad en Vim (CVE-2026-28418)
Fecha de publicación:
27/02/2026
Idioma:
Español
Vim es un editor de texto de código abierto y de línea de comandos. Antes de la versión 9.2.0074, hay un desbordamiento de búfer basado en montículo con lectura fuera de límites en la lógica de análisis de archivos de etiquetas estilo Emacs de Vim. Al procesar un archivo de etiquetas malformado, Vim puede ser engañado para leer hasta 7 bytes más allá del límite de memoria asignada. La versión 9.2.0074 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/03/2026

Vulnerabilidad en vim (CVE-2026-28422)
Fecha de publicación:
27/02/2026
Idioma:
Español
Vim es un editor de texto de código abierto, de línea de comandos. Antes de la versión 9.2.0078, ocurre un desbordamiento de búfer de pila en 'build_stl_str_hl()' al renderizar una línea de estado con un carácter de relleno multibyte en una terminal muy ancha. La versión 9.2.0078 corrige el problema.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/03/2026

Vulnerabilidad en Vim (CVE-2026-28420)
Fecha de publicación:
27/02/2026
Idioma:
Español
Vim es un editor de texto de código abierto y de línea de comandos. Antes de la versión 9.2.0076, hay una escritura de desbordamiento de búfer basado en montículo y una lectura fuera de límites en el emulador de terminal de Vim al procesar caracteres combinatorios máximos de planos suplementarios de Unicode. La versión 9.2.0076 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en Vim (CVE-2026-28421)
Fecha de publicación:
27/02/2026
Idioma:
Español
Vim es un editor de texto de código abierto, de línea de comandos. En las versiones anteriores a la 9.2.0077, existen un desbordamiento de búfer de pila y un fallo de segmentación (SEGV) en la lógica de recuperación de archivos de intercambio de Vim. Ambos son causados por campos no validados leídos de bloques de puntero manipulados dentro de un archivo de intercambio. La versión 9.2.0077 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026
Suscribirse a Vulnerabilidades