Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en TeraStation NAS TS5400R de Buffalo (CVE-2026-29516)
Fecha de publicación:
16/03/2026
Idioma:
Español
La versión de firmware 4.02-0.06 y anteriores de Buffalo TeraStation NAS TS5400R contienen una vulnerabilidad de permisos de archivo excesivos que permite a atacantes autenticados leer el archivo / etc / shadow al cargar y ejecutar un archivo PHP a través del servidor web. Los atacantes pueden explotar los permisos de lectura global en / etc / shadow para recuperar contraseñas con hash para todas las cuentas configuradas, incluyendo root.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en chamilo-lms de chamilo (CVE-2026-30875)
Fecha de publicación:
16/03/2026
Idioma:
Español
Chamilo LMS es un sistema de gestión del aprendizaje. Antes de la versión 1.11.36, una vulnerabilidad de carga arbitraria de archivos en la función de importación H5P permite a usuarios autenticados con rol de Profesor lograr Ejecución Remota de Código (RCE). La validación del paquete H5P solo verifica si h5p.json existe, pero no bloquea archivos .htaccess o PHP con extensiones alternativas. Un atacante carga un paquete H5P manipulado que contiene una webshell y .htaccess que habilita la ejecución de PHP para archivos .txt, eludiendo el control de seguridad. Este problema ha sido parcheado en la versión 1.11.36.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en chamilo-lms de chamilo (CVE-2026-30876)
Fecha de publicación:
16/03/2026
Idioma:
Español
Chamilo LMS es un sistema de gestión del aprendizaje. Antes de la versión 1.11.36, Chamilo es vulnerable a la enumeración de usuarios con nombre de usuario válido/inválido. Este problema ha sido parcheado en la versión 1.11.36.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en chamilo-lms de chamilo (CVE-2026-30882)
Fecha de publicación:
16/03/2026
Idioma:
Español
Chamilo LMS es un sistema de gestión del aprendizaje. Chamilo LMS versión 1.11.34 y anteriores contiene una vulnerabilidad de cross-site scripting (XSS) reflejado en la página de listado de categorías de sesión. El parámetro keyword de $_REQUEST se reproduce directamente en un atributo HTML href sin ninguna codificación o sanitización. Un atacante puede inyectar HTML/JavaScript arbitrario saliendo del contexto del atributo usando ">seguido de una carga útil maliciosa. La vulnerabilidad se activa cuando se renderizan los controles de paginación — lo que ocurre cuando el número de categorías de sesión excede de 20 (el límite de la página). Este problema ha sido parcheado en la versión 1.11.36.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Mattermost (CVE-2026-26304)
Fecha de publicación:
16/03/2026
Idioma:
Español
Las versiones de Mattermost 11.3.x <= 11.3.0, 11.2.x <= 11.2.2 no verifican el permiso run_create para un playbookId vacío, lo que permite a los miembros del equipo crear ejecuciones no autorizadas a través de la API de ejecución de playbooks. ID de Aviso de Mattermost: MMSA-2025-00542
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en chamilo-lms de chamilo (CVE-2026-28430)
Fecha de publicación:
16/03/2026
Idioma:
Español
Chamilo LMS es un sistema de gestión del aprendizaje. Antes de la versión 1.11.34, existe una vulnerabilidad de inyección SQL no autenticada que permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro custom_dates. Al encadenar esto con un mecanismo predecible de restablecimiento de contraseña heredado, un atacante puede lograr una toma de control completa de la cuenta administrativa sin credenciales previas. La vulnerabilidad también expone toda la base de datos, incluyendo PII y configuraciones del sistema. Este problema ha sido parcheado en la versión 1.11.34.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
17/03/2026

Vulnerabilidad en FFmpeg (CVE-2025-69693)
Fecha de publicación:
16/03/2026
Idioma:
Español
Lectura fuera de límites en el decodificador de video RV60 de FFmpeg 8.0 y 8.0.1 (libavcodec/rv60dec.c). La validación del parámetro de cuantificación (qp) en la línea 2267 solo verifica el límite inferior (qp < 0) pero carece de validación del límite superior. El valor de qp puede alcanzar 65 (valor base 63 del encabezado de trama de 6 bits + desplazamiento +2 de read_qp_offset) mientras que el array rv60_qp_to_idx tiene un tamaño de 64 (índices válidos 0-63). Esto resulta en acceso a array fuera de límites en las líneas 1554 (decode_cbp8), 1655 (decode_cbp16) y 1419/1421 (get_c4x4_set), lo que podría llevar a la divulgación de memoria o a un fallo. Una corrección anterior en el commit 61cbcaf93f añadió validación solo para fotogramas intra. Esta vulnerabilidad afecta a las versiones publicadas 8.0 (publicada el 22-08-2025) y 8.0.1 (publicada el 20-11-2025) y está corregida en el commit maestro de git 8abeb879df que se incluirá en FFmpeg 8.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en Forgejo (CVE-2025-68971)
Fecha de publicación:
16/03/2026
Idioma:
Español
En Forgejo hasta la versión 13.0.3, el componente de adjuntos permite una denegación de servicio al subir un archivo adjunto de varios gigabytes (por ejemplo, para asociarlo con una incidencia o una versión).
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en webhooks de craftcms (CVE-2026-32261)
Fecha de publicación:
16/03/2026
Idioma:
Español
El plugin Webhooks para Craft CMS añade la capacidad de gestionar 'webhooks' en Craft CMS, que enviará solicitudes GET o POST cuando ocurran ciertos eventos. Desde la versión 3.0.0 hasta antes de la versión 3.2.0, el plugin Webhooks renderiza contenido de plantilla proporcionado por el usuario a través de la función renderString() de Twig sin protección de sandbox. Esto permite a un usuario autenticado con acceso al panel de control de Craft y permisos para acceder al plugin Webhooks inyectar código de plantilla Twig que llama a funciones PHP arbitrarias. Esto es posible incluso si allowAdminChanges está configurado como false. Este problema ha sido parcheado en la versión 3.2.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en fastmcp de jlowin (CVE-2025-69196)
Fecha de publicación:
16/03/2026
Idioma:
Español
FastMCP es el framework estándar para construir aplicaciones MCP. Antes de la versión 2.14.2, el servidor no respeta adecuadamente el parámetro de recurso enviado por el cliente en la solicitud de autorización y de token. En lugar de emitir el token explícitamente para el servidor MCP, el token se emite para la base_url pasada al OAuthProxy durante la inicialización. Este problema ha sido parcheado en 2.14.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en 0xZeroSec (CVE-2025-69727)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una vulnerabilidad de control de acceso incorrecto existe en INDEX-EDUCATION PRONOTE anterior a 2025.2.8. Los componentes afectados (index.js y composeUrlImgPhotoIndividu) permiten la construcción de URL directas a imágenes de perfil de usuario basándose únicamente en identificadores predecibles como ID de usuario y nombres. Debido a la falta de comprobaciones de autorización y la ausencia de limitación de velocidad al generar o acceder a estas URL, un actor no autenticado o no autorizado puede recuperar imágenes de perfil de usuarios elaborando solicitudes con identificadores adivinados o conocidos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Bareiron (CVE-2025-69808)
Fecha de publicación:
16/03/2026
Idioma:
Español
Un acceso a memoria fuera de límites (OOB) en p2r3 Bareiron commit 8e4d40 permite a atacantes no autenticados acceder a información sensible y causar una denegación de servicio (DoS) mediante el suministro de un paquete manipulado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/03/2026
Suscribirse a Vulnerabilidades