Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-26980
Fecha de publicación:
20/02/2026
Idioma:
Español
Ghost es un sistema de gestión de contenido Node.js. Las versiones 3.24.0 a la 6.19.0 permiten a atacantes no autenticados realizar lecturas arbitrarias de la base de datos. Este problema ha sido solucionado en la versión 6.19.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/02/2026

CVE-2026-26988
Fecha de publicación:
20/02/2026
Idioma:
Español
LibreNMS es una herramienta de monitoreo de red basada en PHP/MySQL/SNMP con descubrimiento automático. Las versiones 25.12.0 e inferiores contienen una vulnerabilidad de inyección SQL en el endpoint ajax_table.php. La aplicación no logra sanitizar o parametrizar correctamente la entrada del usuario al procesar búsquedas de direcciones IPv6. Específicamente, el parámetro 'address' se divide en una 'dirección' y un 'prefijo', y la porción del prefijo se concatena directamente en la cadena de consulta SQL sin validación. Esto permite a un atacante inyectar comandos SQL arbitrarios, lo que podría llevar a un acceso no autorizado a los datos o a la manipulación de la base de datos. Este problema ha sido corregido en la versión 26.2.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/02/2026

CVE-2026-26987
Fecha de publicación:
20/02/2026
Idioma:
Español
LibreNMS es una herramienta de monitoreo de red de autodescubrimiento basada en PHP/MySQL/SNMP. Las versiones 25.12.0 e inferiores son vulnerables a ataques de XSS Reflejado a través del campo de correo electrónico. Este problema ha sido solucionado en la versión 26.2.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-26977
Fecha de publicación:
20/02/2026
Idioma:
Español
Frappe Learning Management System (LMS) es un sistema de aprendizaje que ayuda a los usuarios a estructurar su contenido. En las versiones 2.44.0 e inferiores, los usuarios no autorizados pueden acceder a los detalles de cursos no publicados a través de endpoints de API. Está planificada una solución para este problema para la versión 2.45.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-26990
Fecha de publicación:
20/02/2026
Idioma:
Español
LibreNMS es una herramienta de monitorización de red basada en PHP/MySQL/SNMP con autodescubrimiento. Las versiones 25.12.0 e inferiores tienen una vulnerabilidad de inyección SQL ciega basada en tiempo en address-search.inc.php a través del parámetro address. Cuando se proporciona un prefijo de subred manipulado, el valor del prefijo se concatena directamente en una consulta SQL sin una vinculación de parámetros adecuada, permitiendo a un atacante manipular la lógica de la consulta e inferir información de la base de datos a través de respuestas condicionales basadas en tiempo. Esta vulnerabilidad requiere autenticación y es explotable por cualquier usuario autenticado. Este problema ha sido solucionado en la versión 26.2.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/02/2026

CVE-2026-26989
Fecha de publicación:
20/02/2026
Idioma:
Español
LibreNMS es una herramienta de monitorización de red basada en PHP/MySQL/SNMP con auto-descubrimiento. Las versiones 25.12.0 e inferiores están afectadas por una vulnerabilidad de Cross-Site Scripting Almacenado (XSS) en el flujo de trabajo de Reglas de Alerta. Un atacante con privilegios de administrador puede inyectar scripts maliciosos que se ejecuten en el contexto del navegador de cualquier usuario que acceda a la página de Reglas de Alerta. Este problema ha sido solucionado en la versión 26.2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

CVE-2026-26960
Fecha de publicación:
20/02/2026
Idioma:
Español
node-tar es un Tar con todas las funciones para Node.js. Al usar las opciones predeterminadas en las versiones 7.5.7 e inferiores, un archivo controlado por el atacante puede crear un enlace duro dentro del directorio de extracción que apunte a un archivo fuera de la raíz de extracción, permitiendo la lectura y escritura arbitraria de archivos como el usuario extractor. La gravedad es alta porque la primitiva elude las protecciones de ruta y convierte la extracción del archivo en una primitiva de acceso directo al sistema de archivos. Este problema ha sido solucionado en la versión 7.5.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/02/2026

CVE-2026-26065
Fecha de publicación:
20/02/2026
Idioma:
Español
calibre es un gestor de libros electrónicos multiplataforma para visualizar, convertir, editar y catalogar libros electrónicos. Las versiones 9.2.1 e inferiores son vulnerables a saltos de ruta a través de lectores PDB (tanto variantes de cabecera de 132 bytes como de 202 bytes) que permiten escrituras arbitrarias de archivos con extensión y contenido arbitrarios en cualquier lugar donde el usuario tenga permisos de escritura. Los archivos se escriben en modo 'wb', sobrescribiendo silenciosamente los archivos existentes. Esto puede llevar a una posible ejecución de código y denegación de servicio a través de la corrupción de archivos. Este problema ha sido solucionado en la versión 9.3.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/02/2026

CVE-2026-26064
Fecha de publicación:
20/02/2026
Idioma:
Español
calibre es un gestor de libros electrónicos multiplataforma para ver, convertir, editar y catalogar libros electrónicos. Las versiones 9.2.1 e inferiores contienen una vulnerabilidad de salto de ruta que permite la escritura arbitraria de archivos en cualquier lugar donde el usuario tenga permisos de escritura. En Windows, esto conduce a la ejecución remota de código al escribir una carga útil en la carpeta de Inicio, que se ejecuta en el siguiente inicio de sesión. La función extract_pictures solo verifica startswith('Pictures') y no sanea las secuencias '..'. El propio ZipFile.extractall() de calibre en utils/zipfile.py sí sanea '..' a través de _get_targetpath(), pero extract_pictures() omite esto al usar zf.read() + open() manual. Este problema ha sido solucionado en la versión 9.3.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/02/2026

CVE-2026-26974
Fecha de publicación:
20/02/2026
Idioma:
Español
Slyde es un programa que crea presentaciones animadas a partir de XML. En las versiones 0.0.4 e inferiores, Node.js importa automáticamente los archivos **/*.plugin.{js,mjs}, incluidos los de node_modules, por lo que cualquier paquete malicioso con un archivo .plugin.js puede ejecutar código arbitrario cuando se instala o se requiere. Todos los proyectos que utilizan este comportamiento de carga se ven afectados, especialmente aquellos que instalan paquetes no confiables. Este problema ha sido solucionado en la versión 0.0.5. Para aplicar una solución alternativa a este problema, los usuarios pueden auditar y restringir qué paquetes se instalan en node_modules.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

CVE-2026-26975
Fecha de publicación:
20/02/2026
Idioma:
Español
Music Assistant es un gestor de biblioteca de medios de código abierto que integra servicios de streaming con altavoces conectados. Las versiones 2.6.3 e inferiores permiten a atacantes adyacentes a la red no autenticados ejecutar código arbitrario en las instalaciones afectadas. La API music/playlists/update permite a los usuarios eludir la aplicación de la extensión .m3u y escribir archivos en cualquier lugar del sistema de archivos, lo cual se ve exacerbado por el contenedor que se ejecuta como root. Esto puede ser explotado para lograr la ejecución remota de código escribiendo un archivo .pth malicioso en el directorio site-packages de Python, lo que ejecutará comandos arbitrarios cuando Python cargue. Este problema ha sido solucionado en la versión 2.7.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/02/2026

CVE-2026-26967
Fecha de publicación:
20/02/2026
Idioma:
Español
PJSIP es una biblioteca de comunicación multimedia de código abierto y gratuita escrita en C. En las versiones 2.16 e inferiores, existe una vulnerabilidad crítica de desbordamiento de búfer basado en montículo en el despaquetizador H.264 de PJSIP. El error ocurre al procesar paquetes SRTP malformados, donde el despaquetizador lee un campo de tamaño de unidad NAL de 2 bytes sin validar que ambos bytes estén dentro de los límites del búfer de carga útil. La vulnerabilidad afecta a las aplicaciones que reciben video usando H.264. Un parche está disponible en https://github.com/pjsip/pjproject/commit/f821c214e52b11bae11e4cd3c7f0864538fb5491.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026
Suscribirse a Vulnerabilidades