Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-2858
Fecha de publicación:
20/02/2026
Idioma:
Español
Una vulnerabilidad fue identificada en wren-lang wren hasta 0.4.0. Esto afecta a la función peekChar del archivo src/vm/wren_compiler.c del componente Source File Parser. Dicha manipulación conduce a una lectura fuera de límites. El ataque necesita ser realizado localmente. El exploit está disponible públicamente y podría ser utilizado. El proyecto fue informado del problema tempranamente a través de un informe de incidencia pero aún no ha respondido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

CVE-2026-27111
Fecha de publicación:
20/02/2026
Idioma:
Español
Kargo gestiona y automatiza la promoción de artefactos de software. Desde la v1.9.0 hasta la v1.9.2, el modelo de autorización de Kargo incluye un verbo 'promote' -- un "verbo 'dolphin'" no estándar de Kubernetes -- que restringe la capacidad de avanzar Freight a través de una tubería de promoción. Este verbo existe para separar la capacidad de gestionar recursos relacionados con la promoción de la capacidad de activar promociones, permitiendo un control de acceso granular sobre lo que a menudo es una operación sensible. El verbo 'promote' se aplica correctamente en la API gRPC heredada de Kargo. Sin embargo, tres puntos finales en la API REST más reciente omiten esta verificación, confiando solo en el RBAC estándar de Kubernetes para las operaciones de recursos subyacentes (parche en freights/status o creación en promotions). Esto permite a los usuarios que poseen esos permisos estándar -- pero a quienes deliberadamente no se les concedió 'promote' -- eludir el límite de autorización previsto. Los puntos finales afectados son /v1beta1/projects/{project}/freight/{freight}/approve, /v1beta1/projects/{project}/stages/{stage}/promotions, y /v1beta1/projects/{project}/stages/{stage}/promotions/downstream. Esta vulnerabilidad se corrige en la v1.9.3.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

CVE-2026-27112
Fecha de publicación:
20/02/2026
Idioma:
Español
Kargo gestiona y automatiza la promoción de artefactos de software. Desde la 1.7.0 hasta antes de las v1.7.8, v1.8.11 y v1.9.3, los puntos finales de creación de recursos por lotes tanto de la API gRPC heredada de Kargo como de la API REST más reciente aceptan cargas útiles YAML de múltiples documentos. Cargas útiles especialmente diseñadas pueden manifestar un error presente en la lógica de ambos puntos finales para inyectar recursos arbitrarios (solo de tipos específicos) en el espacio de nombres subyacente de un Proyecto existente utilizando los propios permisos del servidor API cuando ese comportamiento no estaba previsto. Críticamente, un atacante puede explotar esto como un vector para elevar sus propios permisos, lo que luego puede aprovecharse para lograr la ejecución remota de código o la exfiltración de secretos. Las credenciales de repositorio de artefactos exfiltradas pueden aprovecharse, a su vez, para ejecutar ataques adicionales. En algunas configuraciones del clúster de Kubernetes subyacente del plano de control de Kargo, los permisos elevados pueden aprovecharse adicionalmente para lograr la ejecución remota de código o la exfiltración de secretos usando kubectl. Esto puede reducir la complejidad del ataque, sin embargo, los escenarios de peor caso siguen siendo totalmente alcanzables incluso sin esto. Esta vulnerabilidad está corregida en las v1.7.8, v1.8.11 y v1.9.3.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/02/2026

CVE-2026-27113
Fecha de publicación:
20/02/2026
Idioma:
Español
Liquid Prompt es un *prompt* adaptativo para Bash y Zsh. A partir del *commit* cf3441250bb5d8b45f6f8b389fcdf427a99ac28a y antes del *commit* a4f6b8d8c90b3eaa33d13dfd1093062ab9c4b30c en la rama *master*, la inyección de comandos arbitraria puede llevar a la ejecución de código cuando un usuario entra en un directorio de un repositorio Git que contiene un nombre de rama manipulado. La explotación requiere que la opción de configuración LP_ENABLE_GITSTATUSD esté habilitada (habilitada por defecto), que *gitstatusd* esté instalado e iniciado antes de que se cargue Liquid Prompt (no es el valor por defecto), y que la sustitución del *prompt* de la *shell* esté activa (habilitada por defecto en Bash a través de 'shopt -s promptvars', no habilitada por defecto en Zsh). Un nombre de rama que contenga sintaxis de *shell* como '$(...)' o expresiones de *backtick* en la rama por defecto o en una rama extraída será evaluado por la *shell* cuando se renderice el *prompt*. Ninguna versión estable está afectada; solo la rama *master* contiene el *commit* vulnerable. El *commit* a4f6b8d8c90b3eaa33d13dfd1093062ab9c4b30c contiene una corrección. Como solución alternativa, establezca la opción de configuración LP_ENABLE_GITSTATUSD en 0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2026

CVE-2026-27118
Fecha de publicación:
20/02/2026
Idioma:
Español
SvelteKit es un framework para desarrollar rápidamente aplicaciones web robustas y de alto rendimiento utilizando Svelte. Las versiones de @sveltejs/adapter-vercel anteriores a la 6.3.2 son vulnerables al envenenamiento de caché. Un parámetro de consulta interno destinado a la Regeneración Estática Incremental (ISR) es accesible en todas las rutas, permitiendo a un atacante causar que respuestas sensibles y específicas del usuario sean almacenadas en caché y servidas a otros usuarios. La explotación exitosa requiere que una víctima visite un enlace controlado por el atacante mientras está autenticada. Las implementaciones existentes están protegidas por el WAF de Vercel, pero los usuarios deben actualizar lo antes posible. Esta vulnerabilidad está corregida en la 6.3.2.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

CVE-2026-27120
Fecha de publicación:
20/02/2026
Idioma:
Español
Leafkit es un lenguaje de plantillas con sintaxis inspirada en Swift. Antes de la versión 1.4.1, htmlEscaped en leaf-kit solo escapará los caracteres especiales HTML si los clústeres de grafemas extendidos coinciden, lo que permite eludir el escape utilizando un clúster de grafemas extendido que contenga tanto el carácter especial HTML como algunos caracteres adicionales. En el caso de los atributos HTML, esto puede llevar a XSS si hay una variable leaf en el atributo que está controlada por el usuario. Esta vulnerabilidad está corregida en la versión 1.4.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2026

CVE-2026-27026
Fecha de publicación:
20/02/2026
Idioma:
Español
pypdf es una biblioteca PDF de Python puro, gratuita y de código abierto. Antes de la versión 6.7.1, un atacante que utiliza esta vulnerabilidad puede crear un PDF que provoca tiempos de ejecución prolongados. Esto requiere un flujo /FlateDecode malformado, donde se utiliza la descompresión byte a byte. Esta vulnerabilidad está corregida en la versión 6.7.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

CVE-2026-27022
Fecha de publicación:
20/02/2026
Idioma:
Español
@langchain/langgraph-checkpoint-redis es la implementación de punto de control y almacenamiento de Redis para LangGraph. Existe una vulnerabilidad de inyección de consultas en el manejo de filtros del paquete @langchain/langgraph-checkpoint-redis. Las clases RedisSaver y ShallowRedisSaver construyen consultas de RediSearch interpolando directamente claves y valores de filtro proporcionados por el usuario sin un escape adecuado. RediSearch tiene caracteres de sintaxis especiales que pueden modificar el comportamiento de las consultas, y cuando los datos controlados por el usuario contienen estos caracteres, la lógica de la consulta puede ser manipulada para eludir los controles de acceso previstos. Esta vulnerabilidad está corregida en la versión 1.0.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2026

CVE-2026-27025
Fecha de publicación:
20/02/2026
Idioma:
Español
pypdf es una biblioteca PDF escrita puramente en Python, gratuita y de código abierto. Antes de 6.7.1, un atacante que utiliza esta vulnerabilidad puede crear un PDF que provoca tiempos de ejecución prolongados y un gran consumo de memoria. Esto requiere el análisis de la entrada /ToUnicode de una fuente con valores inusualmente grandes, por ejemplo durante la extracción de texto. Esta vulnerabilidad está corregida en 6.7.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

CVE-2026-27024
Fecha de publicación:
20/02/2026
Idioma:
Español
pypdf es una biblioteca PDF pure-python gratuita y de código abierto. Antes de la 6.7.1, un atacante que explota esta vulnerabilidad puede crear un PDF que provoca un bucle infinito. Esto requiere acceder a los hijos de un TreeObject, por ejemplo, como parte de los esquemas. Esta vulnerabilidad está corregida en la 6.7.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

CVE-2026-0777
Fecha de publicación:
20/02/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por advertencia de interfaz de usuario insuficiente en adjuntos de Xmind. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Xmind. Se requiere interacción del usuario para explotar esta vulnerabilidad en que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.<br /> <br /> La falla específica existe dentro del manejo de adjuntos. Al abrir un adjunto, la interfaz de usuario falla en advertir al usuario de acciones inseguras. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Fue ZDI-CAN-26034.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/02/2026

CVE-2026-0797
Fecha de publicación:
20/02/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montículo en el análisis de archivos ICO de GIMP. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GIMP. Se requiere interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.<br /> <br /> La falla específica existe en el análisis de archivos ICO. El problema se debe a la falta de validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en montículo. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-28599.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2026
Suscribirse a Vulnerabilidades