Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Red Hat (CVE-2026-4366)
Fecha de publicación:
18/03/2026
Idioma:
Español
Se identificó una vulnerabilidad en Keycloak, una solución de gestión de identidades y accesos, donde sigue incorrectamente las redirecciones HTTP al procesar ciertas solicitudes de configuración del cliente. Este comportamiento permite a un atacante engañar al servidor para que realice solicitudes no intencionadas a recursos internos o restringidos. Como resultado, servicios internos sensibles como los puntos finales de metadatos en la nube podrían ser accedidos. Este problema puede llevar a la revelación de información y permitir a los atacantes mapear la infraestructura de red interna.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

CVE-2026-33188
Fecha de publicación:
18/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the issue originates from a different product.
Gravedad: Pendiente de análisis
Última modificación:
18/03/2026

CVE-2026-33189
Fecha de publicación:
18/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the issue originates from a different product.
Gravedad: Pendiente de análisis
Última modificación:
18/03/2026

Vulnerabilidad en aws-s3 de craftcms (CVE-2026-32265)
Fecha de publicación:
18/03/2026
Idioma:
Español
El plugin Amazon S3 para Craft CMS proporciona una integración de Amazon S3 para Craft CMS. En las versiones 2.0.2 a la 2.2.4, los usuarios no autenticados pueden ver una lista de buckets a los que el plugin tiene acceso. El endpoint 'BucketsController->actionLoadBucketData()' permite a los usuarios no autenticados con un token CSRF válido ver una lista de buckets que el plugin tiene permitido ver. Los usuarios deben actualizar a la versión 2.2.5 del plugin para mitigar el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en google-cloud de craftcms (CVE-2026-32266)
Fecha de publicación:
18/03/2026
Idioma:
Español
El plugin de Google Cloud Storage para Craft CMS proporciona una integración de Google Cloud Storage para Craft CMS. En versiones de la rama 2.x anteriores a la 2.2.1, el endpoint 'DefaultController->actionLoadBucketData()' permite a usuarios no autenticados con un token CSRF válido ver una lista de buckets que el plugin tiene permitido ver. Los usuarios deben actualizar a la versión 2.2.1 del plugin para mitigar el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
18/03/2026

Vulnerabilidad en kanboard (CVE-2026-33058)
Fecha de publicación:
18/03/2026
Idioma:
Español
Kanboard es un software de gestión de proyectos enfocado en la metodología Kanban. Las versiones anteriores a la 1.2.51 tienen una vulnerabilidad de inyección SQL autenticada. Los atacantes con permiso para añadir usuarios a un proyecto pueden aprovechar esta vulnerabilidad para volcar la totalidad de la base de datos de Kanboard. La versión 1.2.51 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

CVE-2026-33187
Fecha de publicación:
18/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the issue originates from a different product.
Gravedad: Pendiente de análisis
Última modificación:
18/03/2026

Vulnerabilidad en music-metadata de Borewit (CVE-2026-32256)
Fecha de publicación:
18/03/2026
Idioma:
Español
music-metadata es un analizador de metadatos para archivos multimedia de audio y video. Antes de la versión 11.12.3, el analizador ASF de music-metadata ('parseExtensionObject()' en 'lib/asf/AsfParser.ts:112-158') entra en un bucle infinito cuando un subobjeto dentro del Objeto de Extensión de Encabezado ASF tiene 'objectSize = 0'. La versión 11.12.3 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en kube-router de cloudnativelabs (CVE-2026-32254)
Fecha de publicación:
18/03/2026
Idioma:
Español
Kube-router es una solución llave en mano para redes de Kubernetes. Antes de la versión 2.8.0, el módulo proxy de Kube-router no valida las externalIPs o las IPs de loadBalancer antes de programarlas en la configuración de red del nodo. La versión 2.8.0 contiene un parche para el problema. Las soluciones alternativas disponibles incluyen habilitar la puerta de características DenyServiceExternalIPs, desplegar una política de admisión, restringir el RBAC de creación de servicios, monitorear los cambios de servicio y aplicar el filtrado de prefijos BGP.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en jsPDF de parallax (CVE-2026-31938)
Fecha de publicación:
18/03/2026
Idioma:
Español
jsPDF es una biblioteca para generar PDFs en JavaScript. Antes de la versión 4.2.1, el control del usuario sobre el argumento 'options' de la función 'output' permite a los atacantes inyectar HTML arbitrario (como scripts) en el contexto del navegador en el que se abre el PDF creado. La vulnerabilidad puede ser explotada en el siguiente escenario: el atacante proporciona valores para las opciones de salida, por ejemplo, a través de una interfaz web. Estos valores se pasan luego sin sanear (automática o semi-automáticamente) a la víctima del ataque. La víctima crea y abre un PDF con el vector de ataque utilizando una de las sobrecargas de método vulnerables dentro de su navegador. El atacante puede así inyectar scripts que se ejecutan en el contexto del navegador de la víctima y puede extraer o modificar secretos de este contexto. La vulnerabilidad ha sido corregida en jspdf@4.2.1. Como solución alternativa, sanear la entrada del usuario antes de pasarla al método de salida.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/03/2026

Vulnerabilidad en jsPDF de parallax (CVE-2026-31898)
Fecha de publicación:
18/03/2026
Idioma:
Español
jsPDF es una biblioteca para generar PDFs en JavaScript. Anterior a la versión 4.2.1, el control del usuario sobre los argumentos del método 'createAnnotation' permite a los usuarios inyectar objetos PDF arbitrarios, como acciones de JavaScript. Si se le da la posibilidad de pasar entrada no saneada al siguiente método, un usuario puede inyectar objetos PDF arbitrarios, como acciones de JavaScript, que podrían activarse cuando el PDF se abre o se interactúa con el 'createAnnotation': parámetro 'color'. La vulnerabilidad ha sido corregida en jsPDF@4.2.1. Como solución alternativa, sanee la entrada del usuario antes de pasarla a los miembros vulnerables de la API.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en elysia de elysiajs (CVE-2026-31865)
Fecha de publicación:
18/03/2026
Idioma:
Español
Elysia es un framework de Typescript para la validación de solicitudes, inferencia de tipos, documentación OpenAPI y comunicación cliente-servidor. Antes de la versión 1.4.27, una cookie de Elysia podía ser sobrescrita mediante contaminación de prototipos, p. ej. `__proto__`. Este problema está parcheado en la versión 1.4.27. Como solución alternativa, use la validación t.Cookie para forzar el valor de validación y/o evitar la iteración sobre la cookie si es posible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026
Suscribirse a Vulnerabilidades