Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en cryptomator (CVE-2026-32309)
Fecha de publicación:
20/03/2026
Idioma:
Español
Cryptomator cifra los datos almacenados en infraestructura en la nube. Antes de la versión 1.19.1, el flujo de desbloqueo basado en Hub soporta explícitamente hub+http y consume puntos finales de Hub de los metadatos de la bóveda sin forzar HTTPS. Como resultado, una configuración de bóveda puede dirigir tráfico de OAuth y carga de claves sobre HTTP en texto plano o sobre otras combinaciones de puntos finales inseguras. Un atacante de red activo puede manipular u observar este tráfico. Incluso cuando la clave de la bóveda está cifrada para el dispositivo, los tokens de portador y las decisiones de confianza a nivel de punto final aún están expuestos a degradación e interceptación. Este problema ha sido parcheado en la versión 1.19.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/03/2026

Vulnerabilidad en pybbs de atjiu (CVE-2026-4495)
Fecha de publicación:
20/03/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en atjiu pybbs 6.0.0. Esto afecta a la función create del archivo src/main/java/co/yiiu/pybbs/controller/API/CommentApiController.java. La manipulación resulta en cross site scripting. Es posible lanzar el ataque remotamente. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en A18 Pro de Tenda (CVE-2026-4492)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en Tenda A18 Pro 02.03.02.28. El elemento afectado es la función set_qosMib_list del archivo /goform/formSetQosBand. Realizar una manipulación del argumento list resulta en desbordamiento de búfer basado en pila. El ataque es posible de ser llevado a cabo remotamente. El exploit ha sido hecho público y podría ser usado.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en A18 Pro de Tenda (CVE-2026-4493)
Fecha de publicación:
20/03/2026
Idioma:
Español
Se determinó una vulnerabilidad en Tenda A18 Pro 02.03.02.28. El elemento afectado es la función sub_423B50 del archivo /goform/setMacFilterCfg del componente MAC Filtering Configuration Endpoint. La ejecución de una manipulación del argumento deviceList puede conducir a un desbordamiento de búfer basado en pila. El ataque puede realizarse de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en pybbs de atjiu (CVE-2026-4494)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en atjiu pybbs 6.0.0. Esto afecta la función create del archivo src/main/java/co/yiiu/pybbs/controller/api/TopicApiController.java. La manipulación conduce a cross-site scripting. Es posible iniciar el ataque remotamente. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en php_api_doc de XinLiangCoder (CVE-2026-32844)
Fecha de publicación:
20/03/2026
Idioma:
Español
XinLiangCoder php_api_doc a través del commit 1ce5bbf contiene una vulnerabilidad de cross-site scripting reflejado en list_method.php que permite a atacantes remotos ejecutar JavaScript arbitrario en el navegador de una víctima inyectando código malicioso a través del parámetro f. Los atacantes pueden crear una URL maliciosa con entrada no saneada en el parámetro de solicitud GET que se muestra directamente en la página sin la neutralización adecuada, lo que permite el secuestro de sesión, el robo de credenciales o la distribución de malware dentro del contexto de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en cryptomator (CVE-2026-32303)
Fecha de publicación:
20/03/2026
Idioma:
Español
Cryptomator cifra datos almacenados en infraestructura en la nube. Antes de la versión 1.19.1, una vulnerabilidad de verificación de integridad permite a un atacante manipular el archivo de configuración de la bóveda, lo que lleva a una vulnerabilidad de man-in-the-middle en el mecanismo de carga de claves de Hub. Antes de esta corrección, el cliente confiaba en los puntos finales de la configuración de la bóveda sin verificaciones de autenticidad del host, lo que podría permitir la exfiltración de tokens al mezclar un punto final de autenticación legítimo con un punto final de API malicioso. Los usuarios afectados son aquellos que desbloquean bóvedas respaldadas por Hub con versiones de cliente afectadas en entornos donde un atacante puede alterar el archivo vault.cryptomator. Este problema ha sido parcheado en la versión 1.19.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en Checkmate de bluewave-labs (CVE-2026-31836)
Fecha de publicación:
20/03/2026
Idioma:
Español
Checkmate es una herramienta de código abierto y autoalojada diseñada para rastrear y monitorear el hardware del servidor, el tiempo de actividad, los tiempos de respuesta y los incidentes en tiempo real con hermosas visualizaciones. En versiones desde la 3.5.1 y anteriores, una vulnerabilidad de asignación masiva en el endpoint de actualización del perfil de usuario de Checkmate permite a cualquier usuario autenticado escalar sus privilegios a superadministrador, eludiendo todos los controles de acceso basados en roles. Un atacante puede modificar su rol de usuario para obtener acceso administrativo completo a la aplicación, incluyendo la capacidad de ver a todos los usuarios, modificar configuraciones críticas y acceder a datos sensibles del sistema. En el momento de la publicación, no hay parches disponibles públicamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en File Thinghie (CVE-2026-30578)
Fecha de publicación:
20/03/2026
Idioma:
Español
File Thinghie 2.5.7 es vulnerable a Cross Site Scripting (XSS). Un usuario malicioso puede aprovechar el parámetro 'dir' de la solicitud GET para invocar código javascript arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en File Thingie (CVE-2026-30579)
Fecha de publicación:
20/03/2026
Idioma:
Español
File Thingie 2.5.7 es vulnerable a Cross Site Scripting (XSS). Un usuario malicioso puede aprovechar la funcionalidad de 'subir archivo' para subir un archivo con un nombre de archivo manipulado utilizado para activar una carga útil de Javascript.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en File Thingie (CVE-2026-30580)
Fecha de publicación:
20/03/2026
Idioma:
Español
File Thingie 2.5.7 es vulnerable a Salto de Directorio. Un usuario malintencionado puede aprovechar la funcionalidad 'crear carpeta desde url' de la aplicación para leer archivos arbitrarios en el sistema objetivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en A18 Pro de Tenda (CVE-2026-4490)
Fecha de publicación:
20/03/2026
Idioma:
Español
Se ha encontrado una falla en Tenda A18 Pro 02.03.02.28. Este problema afecta a la función setSchedWifi del archivo /goform/openSchedWifi. Esta manipulación causa desbordamiento de búfer basado en pila. La explotación remota del ataque es posible. El exploit ha sido publicado y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026
Suscribirse a Vulnerabilidades