Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Foswiki (CVE-2026-2861)
Fecha de publicación:
21/02/2026
Idioma:
Español
Se detectó una vulnerabilidad en Foswiki hasta 2.1.10 que afecta a una función desconocida del componente Changes/Viewfile/Oops. Si se manipula se puede lograr una revelación de información. Es posible lanzar el ataque en remoto. El exploit es ahora público y puede ser utilizado. Con actualizar a la versión 2.1.11 es suficiente para solucionar este problema. El parche se identifica como 31aeecb58b64/d8ed86b10e46. Se recomienda actualizar el componente afectado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en Swiper (CVE-2026-27212)
Fecha de publicación:
21/02/2026
Idioma:
Español
Swiper es un deslizador táctil móvil y gratuito con transiciones aceleradas por hardware y comportamiento nativo. Las versiones 6.5.1 hasta 12.1.1 tienen una vulnerabilidad de contaminación de prototipos. La vulnerabilidad reside en la línea 94 de shared/utils.mjs, donde la función indexOf() se utiliza para verificar si la entrada proporcionada por el usuario contiene cadenas prohibidas. A pesar de una corrección anterior que intentó mitigar la contaminación de prototipos verificando si la entrada del usuario contenía una clave prohibida, todavía es posible contaminar Object.prototype a través de una entrada manipulada usando Array.prototype. El exploit funciona en Windows y Linux y en los entornos de ejecución de Node y Bun. Cualquier aplicación que procese entrada controlada por el atacante usando este paquete puede verse afectada por lo siguiente: Omisión de Autenticación, Denegación de Servicio y RCE. Este problema está solucionado en la versión 12.1.2.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
24/02/2026

Vulnerabilidad en Cloud Hypervisor (CVE-2026-27211)
Fecha de publicación:
21/02/2026
Idioma:
Español
Cloud Hypervisor es un Monitor de Máquina Virtual para cargas de trabajo en la nube. Las versiones 34.0 a 50.0 son vulnerables a la exfiltración arbitraria de archivos del host (limitada por los privilegios del proceso) al usar dispositivos virtio-block respaldados por imágenes raw. Un invitado malicioso puede sobrescribir su encabezado de disco con una estructura QCOW2 manipulada que apunta a una ruta sensible del host. Tras el siguiente arranque de la máquina virtual o escaneo de disco, la autodetección del formato de imagen analiza este encabezado y entrega el contenido del archivo del host al invitado. Los reinicios de la máquina virtual iniciados por el invitado son suficientes para activar un escaneo de disco y no provocan la salida del proceso de Cloud Hypervisor. Por lo tanto, una única máquina virtual puede realizar este ataque sin necesidad de interacción de la pila de gestión. La explotación exitosa requiere que la imagen de respaldo sea escribible por el invitado o que provenga de un origen no confiable. Las implementaciones que utilizan solo imágenes de confianza y de solo lectura no se ven afectadas. Este problema ha sido solucionado en la versión 50.1. Para una solución alternativa, habilite el sandboxing de land lock y restrinja los privilegios y el acceso del proceso.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
24/02/2026

Vulnerabilidad en TeX (CVE-2026-26046)
Fecha de publicación:
21/02/2026
Idioma:
Español
Se encontró una vulnerabilidad en una configuración administrativa del filtro TeX de Moodle donde una sanitización insuficiente de la entrada de configuración podría permitir la inyección de comandos. En sitios donde el filtro TeX está habilitado e ImageMagick está instalado, un valor de configuración maliciosamente elaborado introducido por un administrador podría resultar en la ejecución no intencionada de comandos del sistema. Si bien la explotación requiere privilegios administrativos, un compromiso exitoso podría afectar a todo el servidor Moodle.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en editor de fórmulas TeX de Moodle (CVE-2026-26047)
Fecha de publicación:
21/02/2026
Idioma:
Español
Se ha identificado una vulnerabilidad de denegación de servicio en el editor de fórmulas TeX de Moodle. Al renderizar contenido TeX usando mimetex, si los límites de tiempo de ejecución son insuficientes, podrían permitir que fórmulas especialmente diseñadas consuman excesivos recursos del servidor. Un usuario autenticado podría abusar de este comportamiento para degradar el rendimiento o causar interrupción del servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en Formwork (CVE-2026-27198)
Fecha de publicación:
21/02/2026
Idioma:
Español
Formwork es un Sistema de Gestión de Contenidos (CMS) basado en archivos planos. En las versiones 2.0.0 a 2.3.3, la aplicación no logra aplicar correctamente la autorización basada en roles durante la creación de cuentas. Aunque el sistema valida que el rol especificado existe, no verifica si el usuario actual tiene privilegios suficientes para asignar roles altamente privilegiados como 'admin'. Como resultado, un usuario autenticado con el rol de 'editor' puede crear una nueva cuenta con privilegios administrativos, lo que lleva a un acceso administrativo completo y a un compromiso total del CMS. Este problema ha sido solucionado en la versión 2.3.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en Werkzeug (CVE-2026-27199)
Fecha de publicación:
21/02/2026
Idioma:
Español
Werkzeug es una completa biblioteca de aplicaciones web WSGI. Las versiones 3.1.5 e inferiores, la función safe_join permite nombres de dispositivos de Windows como nombres de archivo si van precedidos por otros segmentos de ruta. Esto fue reportado previamente como GHSA-hgf8-39gv-g3f2, pero el filtrado añadido no tuvo en cuenta el hecho de que safe_join acepta rutas con múltiples segmentos, como example/NUL. La función send_from_directory utiliza safe_join para servir archivos de forma segura en rutas especificadas por el usuario bajo un directorio. Si la aplicación se está ejecutando en Windows, y la ruta solicitada termina con un nombre de dispositivo especial, el archivo se abrirá con éxito, pero la lectura se colgará indefinidamente. Este problema ha sido solucionado en la versión 3.1.6.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en Flask (CVE-2026-27205)
Fecha de publicación:
21/02/2026
Idioma:
Español
Flask es un framework de aplicación web de interfaz de puerta de enlace de servidor web (WSGI). En las versiones 3.1.2 e inferiores, cuando se accede al objeto de sesión, Flask debería establecer el encabezado Vary: Cookie, lo que resulta en una vulnerabilidad de Uso de Caché que Contiene Información Sensible. La lógica instruye a las cachés a no almacenar en caché la respuesta, ya que puede contener información específica de un usuario autenticado. Esto se maneja en la mayoría de los casos, pero algunas formas de acceso, como el operador in de Python, fueron pasadas por alto. La severidad y el riesgo dependen de que la aplicación esté alojada detrás de un proxy de caché que no ignore las respuestas con cookies, de no establecer un encabezado Cache-Control para marcar las páginas como privadas o no almacenables en caché, y de acceder a la sesión de una manera que solo toque las claves sin leer los valores o mutar la sesión. El problema ha sido solucionado en la versión 3.1.3.
Gravedad CVSS v4.0: BAJA
Última modificación:
24/02/2026

Vulnerabilidad en Moodle (CVE-2026-26045)
Fecha de publicación:
21/02/2026
Idioma:
Español
Se identificó una vulnerabilidad en la funcionalidad de restauración de copias de seguridad de Moodle donde los archivos de copia de seguridad especialmente diseñados no se validaban correctamente durante el procesamiento. Si se restaura un archivo de copia de seguridad malicioso, podría conducir a la ejecución no intencionada de código del lado del servidor. Dado que las capacidades de restauración suelen estar disponibles para usuarios privilegiados, la explotación requiere acceso autenticado. Una explotación exitosa podría resultar en el compromiso total del servidor Moodle.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/02/2026

CVE-2026-27532
Fecha de publicación:
21/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/02/2026

CVE-2026-27533
Fecha de publicación:
21/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/02/2026

CVE-2026-27534
Fecha de publicación:
21/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/02/2026
Suscribirse a Vulnerabilidades