Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Frappe (CVE-2026-29077)
Fecha de publicación:
05/03/2026
Idioma:
Español
Frappe es un framework de aplicación web full-stack. Antes de las versiones 15.98.0 y 14.100.0, debido a una falta de validación al compartir documentos, un usuario podía compartir un documento con un permiso que ellos mismos no tenían. Este problema ha sido parcheado en las versiones 15.98.0 y 14.100.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en Frappe (CVE-2026-28436)
Fecha de publicación:
05/03/2026
Idioma:
Español
Frappe es un framework de aplicación web full-stack. Antes de las versiones 16.11.0 y 15.102.0, un atacante puede establecer una URL de imagen manipulada que resulta en XSS cuando se muestra el avatar, y puede ser activado para otros usuarios a través de comentarios de páginas web. Este problema ha sido parcheado en las versiones 16.11.0 y 15.102.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en File Browser (CVE-2026-28492)
Fecha de publicación:
05/03/2026
Idioma:
Español
Navegador de Archivos proporciona una interfaz de gestión de archivos dentro de un directorio especificado y se puede usar para subir, eliminar, previsualizar, renombrar y editar archivos. Antes de la versión 2.61.0, cuando un usuario crea un enlace de compartición público para un directorio, el middleware withHashFile en http/public.go usa filepath.Dir(link.Path) para calcular la raíz BasePathFs. Esto establece la raíz del sistema de archivos en el directorio padre en lugar del propio directorio compartido, permitiendo a cualquiera con el enlace de compartición navegar y descargar archivos de todos los directorios hermanos. Este problema ha sido parcheado en la versión 2.61.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en ZimaOS de IceWhaleTech (CVE-2026-28442)
Fecha de publicación:
05/03/2026
Idioma:
Español
ZimaOS es un fork de CasaOS, un sistema operativo para dispositivos Zima y sistemas x86-64 con UEFI. En la versión 1.5.2-beta3, los usuarios tienen restringido eliminar archivos o carpetas internos del sistema a través de la interfaz de la aplicación. Sin embargo, al interactuar directamente con la API, estas restricciones pueden ser eludidas. Al alterar el parámetro de ruta en la solicitud de eliminación, los archivos y directorios internos del sistema operativo pueden ser eliminados con éxito. El backend procesa estas solicitudes manipuladas sin validar si la ruta objetivo pertenece a ubicaciones restringidas del sistema. Esto demuestra una validación de entrada incorrecta y un control de acceso roto en operaciones sensibles del sistema de archivos. No hay ningún parche público conocido disponible.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en OpenReplay (CVE-2026-28443)
Fecha de publicación:
05/03/2026
Idioma:
Español
OpenReplay es una suite de reproducción de sesiones autoalojada. Antes de la versión 1.20.0, el endpoint POST /{projectId}/cards/search tiene una inyección SQL en el parámetro sort.field. Este problema ha sido parcheado en la versión 1.20.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Products.isurlinportal (CVE-2026-28413)
Fecha de publicación:
05/03/2026
Idioma:
Español
Products.isurlinportal es un reemplazo para el método isURLInPortal en Plone. Antes de las versiones 2.1.0, 3.1.0 y 4.0.0, una URL /login?came_from=////evil.example podría redirigir a un sitio web externo después de iniciar sesión. Este problema ha sido parcheado en las versiones 2.1.0, 3.1.0 y 4.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en contracts de graphprotocol (CVE-2026-28410)
Fecha de publicación:
05/03/2026
Idioma:
Español
The Graph es un protocolo de indexación para consultar redes como Ethereum, IPFS, Polygon y otras blockchains. Antes de la versión 3.0.0, una falla en los contratos de adquisición de tokens permite a los usuarios acceder a tokens que deberían seguir bloqueados según su cronograma de adquisición de derechos. Este problema ha sido parcheado en la versión 3.0.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/03/2026

Vulnerabilidad en Markus (CVE-2026-28405)
Fecha de publicación:
05/03/2026
Idioma:
Español
MarkUs es una aplicación web para la entrega y calificación de tareas de estudiantes. Antes de la versión 2.9.1, la ruta courses/<:course_id>/assignments/<:assignment_id>/submissions/html_content lee el contenido de un archivo enviado por un estudiante y los renderiza sin sanitización. Este problema ha sido parcheado en la versión 2.9.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en NLTK (CVE-2026-0848)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de NLTK <=3.9.2 son vulnerables a ejecución de código arbitrario debido a una validación de entrada inadecuada en el módulo StanfordSegmenter. El módulo carga dinámicamente archivos .jar de Java externos sin verificación ni sandboxing. Un atacante puede suministrar o reemplazar el archivo JAR, permitiendo la ejecución de bytecode Java arbitrario en el momento de la importación. Esta vulnerabilidad puede ser explotada a través de métodos como el envenenamiento de modelos, ataques MitM o el envenenamiento de dependencias, lo que lleva a ejecución remota de código. El problema surge de la ejecución directa del archivo JAR a través de un subproceso con entrada de classpath no validada, permitiendo que clases maliciosas se ejecuten cuando son cargadas por la JVM.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en UAA de Cloudfoundry Foundation (CVE-2026-22723)
Fecha de publicación:
05/03/2026
Idioma:
Español
Revocación inapropiada de tokens de usuario debido a un error de lógica en la implementación del endpoint de revocación de tokens en Cloudfoundry UAA v77.30.0 a v78.7.0 y en Cloudfoundry Deployment v48.7.0 a v54.10.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en chamilo-lms de chamilo (CVE-2025-55208)
Fecha de publicación:
05/03/2026
Idioma:
Español
Chamilo es un sistema de gestión del aprendizaje. Las versiones anteriores a la 1.11.34 tienen un XSS Almacenado a través de cargas de archivos inseguras en 'Redes Sociales'. A través de ello, un usuario con pocos privilegios puede ejecutar código arbitrario en la bandeja de entrada del usuario administrador, permitiendo la toma de control de la cuenta de administrador. La versión 1.11.34 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en OpenCode Systems OC Messaging / USSD Gateway OC (CVE-2025-70614)
Fecha de publicación:
05/03/2026
Idioma:
Español
OpenCode Systems OC Messaging / USSD Gateway OC Release 6.32.2 contiene una vulnerabilidad de control de acceso roto en el panel de control basado en web que permite a atacantes autenticados con bajos privilegios obtener acceso a mensajes SMS arbitrarios a través de un parámetro de identificador de empresa o inquilino manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2026
Suscribirse a Vulnerabilidades