Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en FastApiAdmin (CVE-2026-2979)
Fecha de publicación:
23/02/2026
Idioma:
Español
Se ha encontrado un fallo en FastApiAdmin hasta la versión 2.2.0. Este problema afecta a la función user_avatar_upload_controller del archivo /backend/app/api/v1/module_system/user/controller.py del componente API de Tareas Programadas. Si se ejecuta al ser manipulada puede producirse una carga sin restricciones. El ataque puede lanzarse de forma remota. El exploit ha sido publicado y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en UTT HiPER 810G (CVE-2026-2981)
Fecha de publicación:
23/02/2026
Idioma:
Español
Se encontró una vulnerabilidad en UTT HiPER 810G hasta 1.7.7-1711 que afecta a la función strcpy del archivo /goform/formTaskEdit_ap. Al manipular el argumento txtMin2 se produce un desbordamiento de búfer. El ataque puede ser lanzado en remoto. El exploit ha sido hecho público y podría ser usado.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en UTT HiPER 810G (CVE-2026-2980)
Fecha de publicación:
23/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en UTT HiPER 810G hasta 1.7.7-1711 que afecta a la función strcpy del archivo /goform/setSysAdm. Al manipular el argumento 'passwd1' se produce un desbordamiento de búfer. El ataque puede ser iniciado en remoto. El exploit ha sido divulgado al público y puede ser usado.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en componente KeycloakSecurityPolicy de Apache Camel Keycloak (CVE-2026-23552)
Fecha de publicación:
23/02/2026
Idioma:
Español
Elusión de la aceptación de tokens entre dominios (realms) en el componente KeycloakSecurityPolicy de Apache Camel Keycloak.<br /> <br /> La política de seguridad KeycloakSecurityPolicy de Camel-Keycloak no valida la declaración &amp;#39;iss&amp;#39; (emisor) de los tokens JWT contra el dominio (realm) configurado. Un token emitido por un dominio (realm) de Keycloak es aceptado silenciosamente por una política configurada para un dominio (realm) completamente diferente, rompiendo el aislamiento de inquilinos.<br /> Este problema afecta a Apache Camel: desde la versión 4.15.0 hasta antes de la 4.18.0.<br /> <br /> Se recomienda a los usuarios actualizar a la versión 4.18.0, que corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/02/2026

Vulnerabilidad en Zohocorp (CVE-2026-1367)
Fecha de publicación:
23/02/2026
Idioma:
Español
Zohocorp ManageEngine ADSelfService Plus versiones 6522 e inferiores son vulnerables a inyección SQL autenticada en la opción de informe de búsqueda.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en FastApiAdmin (CVE-2026-2977)
Fecha de publicación:
23/02/2026
Idioma:
Español
Se ha detectado una vulnerabilidad de seguridad en FastApiAdmin hasta la versión 2.2.0. Esta afecta a la función upload_controller del archivo /backend/app/api/v1/module_common/file/controller.py del componente API de Tareas Programadas. Dicha manipulación conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en FastApiAdmin (CVE-2026-2978)
Fecha de publicación:
23/02/2026
Idioma:
Español
Se detectó una vulnerabilidad en FastApiAdmin hasta 2.2.0. Esta vulnerabilidad afecta a la función upload_file_controller del archivo /backend/app/api/v1/module_system/params/controller.py del componente API de Tareas Programadas. Su manipulación resulta en una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit ahora es público y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en FastApiAdmin (CVE-2026-2976)
Fecha de publicación:
23/02/2026
Idioma:
Español
Se ha identificado una debilidad en FastApiAdmin hasta la versión 2.2.0. Está afectadapor este problema la función download_controller del archivo /backend/app/api/v1/module_common/file/controller.py del componente &amp;#39;Download Endpoint&amp;#39;. Esta manipulación del argumento &amp;#39;file_path&amp;#39; provoca una revelación de información. Es posible iniciar el ataque de forma remota. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en FastApiAdmin (CVE-2026-2975)
Fecha de publicación:
23/02/2026
Idioma:
Español
Se ha descubierto un fallo de seguridad en FastApiAdmin hasta la versión 2.2.0. Está afectada por esta vulnerabilidad la función reset_api_docs del archivo /backend/app/plugin/init_app.py del componente Custom Documentation Endpoint. Si se manipula se puede lograrse una revelación de información. El ataque puede realizarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en AliasVault App (CVE-2026-2974)
Fecha de publicación:
23/02/2026
Idioma:
Español
Se ha descubierto una vulnerabilidad en AliasVault App hasta la versión 0.25.3 en Android/iOS. Esta vulnerabilidad afecta a código desconocido del archivo shared_prefs/aliasvault.xml del componente Gestor de Copias de Seguridad. Al manipular el argumento accessToken/refreshToken/metadata/key_derivation_params/auth_methods se logra exponer el archivo de copia de seguridad a una esfera de control no autorizada. El ataque debe realizarse en local. Se considera que el ataque tiene una complejidad alta. Se afirma que es difícil de explotar. El exploit está disponible públicamente y podría ser utilizado. La actualización a la versión 0.26.0 puede resolver este problema. El identificador del parche es 873ecc03f92238e162f98a068ad56069a922b4f6/0bd662320174d8265dfe3b05a04bc13efc960532. Se recomienda actualizar el componente afectado. El creador del software explica: &amp;#39;Debido al diseño de cifrado de conocimiento cero de AliasVault, los tokens almacenados en aliasvault.xml son tokens de sesión de API que no pueden descifrar la bóveda por sí solos: se necesita la contraseña maestra para ello. Así que, aunque esto no es un riesgo directo de compromiso de la bóveda, tampoco hay razón para incluirlos en las copias de seguridad.&amp;#39;
Gravedad CVSS v4.0: BAJA
Última modificación:
23/02/2026

Vulnerabilidad en a466350665 Smart-SSO (CVE-2026-2972)
Fecha de publicación:
23/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en a466350665 Smart-SSO hasta 2.1.1. Esta afecta a la función Save del archivo smart-sso-server/src/main/java/openjoe/smart/sso/server/controller/admin/UserController.java del componente &amp;#39;Role Edit Page&amp;#39;. Ejecutar una manipulación puede provocar un cross-site scripting. El ataque puede realizarse de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en datapizza-labs datapizza-ai (CVE-2026-2970)
Fecha de publicación:
23/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en datapizza-labs datapizza-ai 0.0.2 que afecta a la función RedisCache del archivo datapizza-ai-cache/redis/datapizza/cache/redis/cache.py. Al manipularla se logra realizar una deserialización. El ataque requiere estar en la red local. El ataque es de complejidad alta y difícil de explotar. El exploit ha sido divulgado al público y puede ser usado. El proveedor fue contactado con antelación sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
23/02/2026
Suscribirse a Vulnerabilidades