Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en LibreChat de danny-avila (CVE-2026-31949)
Fecha de publicación:
13/03/2026
Idioma:
Español
LibreChat es un clon de ChatGPT con características adicionales. Antes de la versión 0.8.3-rc1, existe una vulnerabilidad de denegación de servicio (DoS) en el endpoint DELETE /api/convos que permite a un atacante autenticado bloquear el proceso del servidor Node.js enviando solicitudes malformadas. El gestor de ruta DELETE /api/convos intenta desestructurar req.body.arg sin validar que exista. El servidor se bloquea debido a un TypeError no manejado que omite el middleware de manejo de errores de Express y activa process.exit(1). Esta vulnerabilidad está corregida en la versión 0.8.3-rc1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en FreeRDP (CVE-2026-31897)
Fecha de publicación:
13/03/2026
Idioma:
Español
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la versión 3.24.0, existe una lectura fuera de límites en freerdp_bitmap_decompress_planar cuando SrcSize es 0. La función desreferencia *srcp (que apunta a pSrcData) sin verificar primero que SrcSize >= 1. Cuando SrcSize es 0 y pSrcData no es NULL, esto lee un byte más allá del final del búfer de origen. Esta vulnerabilidad se corrige en la versión 3.24.0.
Gravedad: Pendiente de análisis
Última modificación:
17/03/2026

Vulnerabilidad en CairoSVG de Kozea (CVE-2026-31899)
Fecha de publicación:
13/03/2026
Idioma:
Español
CairoSVG es un conversor de SVG basado en Cairo, una libreríade gráficos 2D. Anteriormente, Kozea/CairoSVG tenía una denegación de servicio exponencial a través de la amplificación recursiva del elemento en cairosvg/defs.py. Esto causa el agotamiento de la CPU a partir de una entrada pequeña.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en tema de WordPress Flatsome (CVE-2026-31915)
Fecha de publicación:
13/03/2026
Idioma:
Español
Vulnerabilidad de autorización faltante en UX-themes Flatsome flatsome permite Explotar Niveles de Seguridad de Control de Acceso Configurados Incorrectamente. Este problema afecta a Flatsome: desde n/a hasta <= 3.19.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en plugin de WordPress Latest Post Shortcode (CVE-2026-31916)
Fecha de publicación:
13/03/2026
Idioma:
Español
Vulnerabilidad de autorización faltante en Iulia Cazan Latest Post Shortcode latest-post-shortcode permite la explotación de niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Latest Post Shortcode: desde n/a hasta <= 14.2.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en plugin de WordPress WP ERP (CVE-2026-31917)
Fecha de publicación:
13/03/2026
Idioma:
Español
Vulnerabilidad de Neutralización Incorrecta de Elementos Especiales utilizados en un Comando SQL ('Inyección SQL') en weDevs WP ERP erp permite la inyección SQL. Este problema afecta a WP ERP: desde n/a hasta <= 1.16.10.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en dagu de dagu-org (CVE-2026-31882)
Fecha de publicación:
13/03/2026
Idioma:
Español
Dagu es un motor de flujo de trabajo con una interfaz de usuario web integrada. Antes de la versión 2.2.4, cuando Dagu está configurado con autenticación HTTP básica (DAGU_AUTH_MODE=basic), todos los puntos finales de Server-Sent Events (SSE) son accesibles sin ninguna credencial. Esto permite a atacantes no autenticados acceder a datos de ejecución de DAG en tiempo real, configuraciones de flujo de trabajo, registros de ejecución y estado de la cola — eludiendo la autenticación que protege la API REST. La función buildStreamAuthOptions() construye opciones de autenticación para puntos finales SSE/streaming. Cuando el modo de autenticación es básico, devuelve una estructura auth.Options con BasicAuthEnabled: true pero AuthRequired por defecto es false (valor cero de Go). El middleware de autenticación en internal/service/frontend/auth/middleware.go permite solicitudes no autenticadas cuando AuthRequired es false. Esta vulnerabilidad se corrige en la versión 2.2.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en FreeRDP (CVE-2026-31883)
Fecha de publicación:
13/03/2026
Idioma:
Español
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Anterior a la 3.24.0, un subdesbordamiento de size_t en los decodificadores de audio IMA-ADPCM y MS-ADPCM conduce a una escritura de desbordamiento de búfer de pila a través del canal de audio RDPSND. En libfreerdp/codec/dsp.c, los decodificadores IMA-ADPCM y MS-ADPCM restan tamaños de encabezado de bloque de una variable size_t sin comprobar si hay subdesbordamiento. Cuando nBlockAlign (recibido del servidor) se establece de tal manera que size % block_size == 0 activa el análisis del encabezado en un punto donde size es menor que el encabezado (4 u 8 bytes), la resta envuelve size a ~SIZE_MAX. El bucle while (size > 0) entonces continúa por un número astronómico de iteraciones. Esta vulnerabilidad se corrige en la 3.24.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en FreeRDP (CVE-2026-31884)
Fecha de publicación:
13/03/2026
Idioma:
Español
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la versión 3.24.0, división por cero en los decodificadores MS-ADPCM e IMA-ADPCM cuando nBlockAlign es 0, lo que lleva a un fallo. En libfreerdp/codec/dsp.c, ambos decodificadores ADPCM usan size % block_size donde block_size = context->common.format.nBlockAlign. El valor nBlockAlign proviene de la PDU de Formatos de Audio del Servidor en el canal RDPSND. El valor 0 no se valida en ningún lugar antes de llegar al decodificador. Cuando nBlockAlign = 0, la operación de módulo causa un fallo SIGFPE (excepción de coma flotante). Esta vulnerabilidad se corrige en la versión 3.24.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en FreeRDP (CVE-2026-31885)
Fecha de publicación:
13/03/2026
Idioma:
Español
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la versión 3.24.0, existe una lectura fuera de límites en los decodificadores MS-ADPCM e IMA-ADPCM debido a valores de predictor y step_index no verificados de los datos de entrada. Esta vulnerabilidad se corrige en la versión 3.24.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en dagu de dagu-org (CVE-2026-31886)
Fecha de publicación:
13/03/2026
Idioma:
Español
Dagu es un motor de flujo de trabajo con una interfaz de usuario web integrada. Antes de la versión 2.2.4, el campo de solicitud dagRunId aceptado por los puntos finales de ejecución de DAG en línea se pasa directamente a filepath.Join para construir una ruta de directorio temporal sin ninguna validación de formato. filepath.Join de Go resuelve los segmentos '..' léxicamente, por lo que un llamador puede proporcionar un valor como '..' para redirigir el directorio calculado fuera de la ruta prevista /tmp//. Una función de limpieza diferida que llama a os.RemoveAll en ese directorio se ejecuta incondicionalmente cuando el gestor HTTP regresa, eliminando cualquier directorio al que se resolvió el recorrido. Con dagRunId establecido en '..', el directorio resuelto es el directorio temporal del sistema (/tmp en Linux). En despliegues sin privilegios de root, os.RemoveAll('/tmp') elimina todos los archivos en /tmp propiedad del usuario del proceso dagu, interrumpiendo cada ejecución concurrente de dagu que tiene archivos temporales activos. En despliegues con privilegios de root o Docker, la llamada elimina todo el contenido de /tmp, causando una denegación de servicio a nivel de sistema. Esta vulnerabilidad se corrige en la versión 2.2.4.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/03/2026

Vulnerabilidad en rust-yamux de libp2p (CVE-2026-31814)
Fecha de publicación:
13/03/2026
Idioma:
Español
Yamux es un multiplexor de flujo sobre conexiones fiables y ordenadas como TCP/IP. Desde 0.13.0 hasta antes de 0.13.9, una WindowUpdate especialmente diseñada puede causar un desbordamiento aritmético en la contabilidad de la ventana de envío, lo que desencadena un pánico en la máquina de estados de la conexión. Esto es alcanzable remotamente a través de una conexión de red normal y no requiere autenticación. Esta vulnerabilidad está corregida en 0.13.9.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026
Suscribirse a Vulnerabilidades