Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en dd-trace-java de DataDog (CVE-2026-33728)
Fecha de publicación:
27/03/2026
Idioma:
Español
dd-trace-java es un cliente APM de Datadog para Java. En las versiones de dd-trace-java 0.40.0 hasta la anterior a 1.60.2, la instrumentación RMI registró un punto final personalizado que deserializaba los datos entrantes sin aplicar filtros de serialización. En la versión 16 de JDK y anteriores, un atacante con acceso de red a un puerto JMX o RMI en una JVM instrumentada podría explotar esto para lograr potencialmente la ejecución remota de código. Las tres condiciones siguientes deben ser verdaderas para explotar esta vulnerabilidad: Primero, dd-trace-java está adjunto como un agente Java ('-javaagent') en Java 16 o anterior. Segundo, un puerto JMX/RMI ha sido configurado explícitamente a través de '-Dcom.sun.management.jmxremote.port' y es accesible por red. Tercero, una biblioteca compatible con cadenas de gadgets está presente en el classpath. Para JDK >= 17, no se requiere ninguna acción, pero se recomienda encarecidamente la actualización. Para JDK >= 8u121 < JDK 17, actualice a la versión 1.60.3 o posterior de dd-trace-java. Para JDK < 8u121 y anteriores donde los filtros de serialización no están disponibles, aplique la solución alternativa. La solución alternativa es establecer la siguiente variable de entorno para deshabilitar la integración RMI: 'DD_INTEGRATION_RMI_ENABLED=false'.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
30/03/2026

Vulnerabilidad en MyTube de franklioxygen (CVE-2026-33735)
Fecha de publicación:
27/03/2026
Idioma:
Español
MyTube es un descargador y reproductor autoalojado para varios sitios web de videos. Antes de la versión 1.8.69, una omisión de autorización en el endpoint `/api/settings/import-database` permite a atacantes con credenciales de bajo privilegio cargar y reemplazar completamente la base de datos SQLite de la aplicación, lo que lleva a un compromiso total de la aplicación. La omisión es relevante también para otras rutas POST. La versión 1.8.69 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/03/2026

Vulnerabilidad en openfga (CVE-2026-33729)
Fecha de publicación:
27/03/2026
Idioma:
Español
OpenFGA es un motor de autorización/permisos de alto rendimiento y flexible, construido para desarrolladores e inspirado en Google Zanzibar. En versiones anteriores a la 1.13.1, bajo condiciones específicas, los modelos que usan condiciones con el almacenamiento en caché habilitado pueden resultar en que dos solicitudes de verificación diferentes produzcan la misma clave de caché. Esto puede resultar en que OpenFGA reutilice un resultado previamente almacenado en caché para una solicitud diferente. Los usuarios se ven afectados si el modelo tiene relaciones que dependen de la evaluación de condiciones y el almacenamiento en caché está habilitado. OpenFGA v1.13.1 contiene un parche.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/04/2026

Vulnerabilidad en metabase (CVE-2026-33725)
Fecha de publicación:
27/03/2026
Idioma:
Español
Metabase es una herramienta de inteligencia de negocios de código abierto y análisis embebido. En Metabase Enterprise anterior a las versiones 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 y 1.59.4, los administradores autenticados en Metabase Enterprise Edition pueden lograr Ejecución Remota de Código (RCE) y Lectura Arbitraria de Archivos a través del endpoint 'POST /API/ee/serialization/import'. Un archivo de serialización manipulado inyecta una propiedad 'INIT' en la especificación H2 JDBC, que puede ejecutar SQL arbitrario durante una sincronización de base de datos. Confirmamos que esto era posible en Metabase Cloud. Esto solo afecta a Metabase Enterprise. Metabase OSS carece de las rutas de código afectadas. Todas las versiones de Metabase Enterprise que tienen serialización, lo que se remonta al menos a la versión 1.47, están afectadas. Las versiones de Metabase Enterprise 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 y 1.59.4 parchean el problema. Como solución alternativa, deshabilite el endpoint de importación de serialización en su instancia de Metabase para evitar el acceso a las rutas de código vulnerables.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en open-telemetry (CVE-2026-33701)
Fecha de publicación:
27/03/2026
Idioma:
Español
OpenTelemetry Java Instrumentation proporciona auto-instrumentación de OpenTelemetry y bibliotecas de instrumentación para Java. En versiones anteriores a la 2.26.1, la instrumentación RMI registró un punto final personalizado que deserializaba los datos entrantes sin aplicar filtros de serialización. En la versión 16 de JDK y anteriores, un atacante con acceso de red a un puerto JMX o RMI en una JVM instrumentada podría explotar esto para lograr potencialmente la ejecución remota de código. Las tres condiciones siguientes deben cumplirse para explotar esta vulnerabilidad: Primero, la instrumentación de OpenTelemetry Java está adjunta como un agente Java ('-javaagent') en Java 16 o anterior. Segundo, el puerto JMX/RMI ha sido configurado explícitamente a través de '-Dcom.sun.management.jmxremote.port' y es accesible por red. Tercero, una biblioteca compatible con cadenas de gadgets está presente en el classpath. Esto resulta en ejecución remota de código arbitraria con los privilegios del usuario que ejecuta la JVM instrumentada. Para JDK >= 17, no se requiere ninguna acción, pero se recomienda encarecidamente la actualización. Para JDK < 17, actualice a la versión 2.26.1 o posterior. Como solución alternativa, establezca la propiedad del sistema '-Dotel.instrumentation.rmi.enabled=false' para deshabilitar la integración RMI.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
01/04/2026

Vulnerabilidad en pypdf de py-pdf (CVE-2026-33699)
Fecha de publicación:
27/03/2026
Idioma:
Español
pypdf es una biblioteca PDF escrita puramente en Python, gratuita y de código abierto. Las versiones anteriores a la 6.9.2 tienen una vulnerabilidad en la que un atacante puede crear un PDF que conduce a un bucle infinito. Esto requiere leer un archivo en modo no estricto. Esto ha sido corregido en pypdf 6.9.2. Si los usuarios aún no pueden actualizar, consideren aplicar los cambios del parche manualmente.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en OpenHands (CVE-2026-33718)
Fecha de publicación:
27/03/2026
Idioma:
Español
OpenHands es un software para el desarrollo impulsado por IA. A partir de la versión 1.5.0, existe una vulnerabilidad de inyección de comandos en el método 'get_git_diff()' en 'openhands/runtime/utils/git_handler.py:134'. El parámetro 'path' del endpoint de API '/api/conversations/{conversation_id}/git/diff' se pasa sin sanear a un comando de shell, permitiendo a atacantes autenticados ejecutar comandos arbitrarios en el sandbox del agente. Al usuario ya se le permite instruir al agente para ejecutar comandos, pero esto elude los canales normales. La versión 1.5.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/04/2026

Vulnerabilidad en MapServer (CVE-2026-33721)
Fecha de publicación:
27/03/2026
Idioma:
Español
MapServer es un sistema para desarrollar aplicaciones GIS basadas en web. A partir de la versión 4.2 y antes de la versión 8.6.1, una escritura de desbordamiento de búfer de pila en el analizador SLD (Styled Layer Descriptor) de MapServer permite a un atacante remoto no autenticado bloquear el proceso de MapServer al enviar un SLD manipulado con más de 100 elementos Threshold dentro de una estructura ColorMap/Categorize (comúnmente accesible a través de WMS GetMap con SLD_BODY). La versión 8.6.1 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2026

Vulnerabilidad en Lemmy (CVE-2026-33693)
Fecha de publicación:
27/03/2026
Idioma:
Español
Lemmy es un agregador de enlaces y un foro para el fediverso. Antes de la versión 0.7.0-beta.9, la función `v4_is_invalid()` de `activitypub-federation-rust` (`src/utils.rs`) no comprueba si existe `Ipv4Addr::UNSPECIFIED` (0.0.0.0). Un atacante no autenticado que controle un dominio remoto puede apuntarlo a 0.0.0.0, eludir la protección SSRF introducida por la corrección para CVE-2025-25194 (GHSA-7723-35v7-qcxw) y acceder a los servicios de localhost en el servidor de destino. La versión 0.7.0-beta.9 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en AC5 de Tenda (CVE-2026-4905)
Fecha de publicación:
27/03/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en Tenda AC5 15.03.06.47. Afectada es la función formWifiWpsOOB del archivo /goform/WifiWpsOOB del componente Gestor de Solicitudes POST. Realizar una manipulación del argumento index resulta en desbordamiento de búfer basado en pila. La explotación remota del ataque es posible. El exploit ha sido hecho público y podría ser usado.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/03/2026

Vulnerabilidad en AC5 de Tenda (CVE-2026-4904)
Fecha de publicación:
27/03/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Tenda AC5 15.03.06.47. Este problema afecta a la función formSetCfm del archivo /goform/setcfm del componente Gestor de Solicitudes POST. Dicha manipulación del argumento funcpara1 conduce a desbordamiento de búfer basado en pila. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/03/2026

Vulnerabilidad en incus de lxc (CVE-2026-33945)
Fecha de publicación:
27/03/2026
Idioma:
Español
Incus es un gestor de contenedores de sistema y de máquinas virtuales. Las instancias de Incus tienen una opción para proporcionar credenciales a systemd en el invitado. Para los contenedores, esto se gestiona a través de un directorio compartido. Antes de la versión 6.23.0, un atacante puede establecer una clave de configuración con un nombre similar a systemd.credential.../../../../../../root/.bashrc para hacer que Incus escriba fuera del directorio 'credentials' asociado con el contenedor. Esto aprovecha el hecho de que la sintaxis de Incus para dichas credenciales es systemd.credential.XYZ, donde XYZ puede contener más puntos. Si bien no es posible leer ningún dato de esta manera, es posible escribir en archivos arbitrarios como root, lo que permite tanto la escalada de privilegios como los ataques de denegación de servicio. La versión 6.23.0 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/04/2026
Suscribirse a Vulnerabilidades