Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en AVideo de WWBN (CVE-2026-33500)
Fecha de publicación:
23/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, la corrección para CVE-2026-27568 (GHSA-rcqw-6466-3mv7) introdujo una clase personalizada ParsedownSafeWithLinks que sanitiza las etiquetas HTML sin procesar `` e `` en los comentarios, pero deshabilita explícitamente el safeMode de Parsedown. Esto crea un bypass: la sintaxis de enlace markdown `[text](javascript:alert(1))` es procesada por el método inlineLink() de Parsedown, que no pasa por la sanitización personalizada sanitizeATag() (que solo maneja etiquetas HTML sin procesar). Con safeMode deshabilitado, el filtrado de URI `javascript:` incorporado de Parsedown (sanitiseElement()/filterUnsafeUrlInAttribute()) también está inactivo. Un atacante puede inyectar XSS almacenado a través de enlaces markdown en comentarios. El commit 3ae02fa240939dbefc5949d64f05790fd25d728d contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en AVideo de WWBN (CVE-2026-33499)
Fecha de publicación:
23/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, las plantillas `view/forbiddenPage.php` y `view/warningPage.php` reflejan el parámetro `$_REQUEST['unlockPassword']` directamente en los atributos de una etiqueta HTML `` sin ninguna codificación de salida o saneamiento. Un atacante puede crear una URL que escapa del atributo `value` e inyecta atributos HTML arbitrarios, incluyendo manejadores de eventos JavaScript, logrando XSS reflejado contra cualquier visitante que haga clic en el enlace. El commit f154167251c9cf183ce09cd018d07e9352310457 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en XnSoft NConvert (CVE-2026-30007)
Fecha de publicación:
23/03/2026
Idioma:
Español
XnSoft NConvert 7.230 es vulnerable a uso después de liberación a través de un archivo .tiff manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en XnSoft NConvert (CVE-2026-30006)
Fecha de publicación:
23/03/2026
Idioma:
Español
XnSoft NConvert 7.230 es vulnerable a desbordamiento de búfer de pila a través de un archivo .tiff manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en owntone-server (CVE-2026-26829)
Fecha de publicación:
23/03/2026
Idioma:
Español
Una desreferencia de puntero NULL en la función safe_atou64 (src/misc.c) de owntone-server hasta el commit c4d57aa permite a los atacantes causar una Denegación de Servicio (DoS) mediante el envío de una serie de solicitudes HTTP manipuladas al servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2026

Vulnerabilidad en owntone-server (CVE-2026-26828)
Fecha de publicación:
23/03/2026
Idioma:
Español
Una desreferencia de puntero NULL en la función daap_reply_playlists (src/httpd_daap.c) de owntone-server commit 3d1652d permite a los atacantes causar una Denegación de Servicio (DoS) mediante el envío de una solicitud DAAP manipulada al servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2026

Vulnerabilidad en DigitalOcean Droplet Agent (CVE-2026-24516)
Fecha de publicación:
23/03/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos existe en DigitalOcean Droplet Agent hasta la versión 1.3.2. El componente de acción de resolución de problemas (internal/troubleshooting/actioner/actioner.go) procesa metadatos del endpoint del servicio de metadatos y ejecuta comandos especificados en el array TroubleshootingAgent.Requesting sin una validación de entrada adecuada. Si bien el código valida que los artefactos existen en el mapa validInvestigationArtifacts, no logra sanear el contenido real del comando después del prefijo 'command:'. Esto permite a un atacante que puede controlar las respuestas de metadatos inyectar y ejecutar comandos arbitrarios del sistema operativo con privilegios de root. El ataque se desencadena enviando un paquete TCP con números de secuencia específicos al puerto SSH, lo que hace que el agente obtenga metadatos de http://169.254.169.254/metadata/v1.json. La vulnerabilidad afecta el flujo de ejecución de comandos en internal/troubleshooting/actioner/actioner.go (validación insuficiente), internal/troubleshooting/command/exec.go (llamada directa a exec.CommandContext) y internal/troubleshooting/command/command.go (análisis de comandos sin sanitización). Esto puede llevar a un compromiso completo del sistema, exfiltración de datos, escalada de privilegios y potencial movimiento lateral a través de la infraestructura en la nube.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en kodbox de kalcaddle (CVE-2026-4591)
Fecha de publicación:
23/03/2026
Idioma:
Español
Se ha identificado una debilidad en kalcaddle kodbox 1.64. Esto afecta a la función checkBin del archivo /workspace/source-code/plugins/fileThumb/app.PHP del componente fileThumb Endpoint. Ejecutar una manipulación puede llevar a una inyección de comandos del sistema operativo. El ataque puede ejecutarse de forma remota. El exploit ha sido puesto a disposición del público y podría usarse para ataques. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en kodbox de kalcaddle (CVE-2026-4592)
Fecha de publicación:
23/03/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en kalcaddle kodbox 1.64. Esto afecta la función loginAfter/tfaVerify del archivo /workspace/source-code/plugins/client/controller/tfa/index.class.php del componente Password Login. La manipulación conduce a una autenticación impropia. El ataque es posible de ser llevado a cabo de forma remota. El ataque se considera que tiene alta complejidad. La explotabilidad se dice que es difícil. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en AVideo de WWBN (CVE-2026-33492)
Fecha de publicación:
23/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, la función '_session_start()' de AVideo acepta IDs de sesión arbitrarios a través del parámetro GET 'PHPSESSID' y los establece como la sesión PHP activa. Existe un bypass de regeneración de sesión para endpoints específicos en la lista negra cuando la solicitud se origina desde el mismo dominio. Combinado con la regeneración de sesión explícitamente deshabilitada en 'User::login()', esto permite un ataque clásico de fijación de sesión donde un atacante puede fijar el ID de sesión de una víctima antes de la autenticación y luego secuestrar la sesión autenticada. El commit 5647a94d79bf69a972a86653fe02144079948785 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en AVideo de WWBN (CVE-2026-33488)
Fecha de publicación:
23/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, la función `createKeys()` en el sistema PGP 2FA del plugin LoginControl genera claves RSA de 512 bits, que han sido factorizables públicamente desde 1999. Un atacante que obtiene la clave pública de un usuario objetivo puede factorizar el módulo RSA de 512 bits en hardware comercial en horas, derivar la clave privada completa y descifrar cualquier desafío PGP 2FA emitido por el sistema — eludiendo completamente el segundo factor de autenticación. Además, los endpoints `generateKeys.json.php` y `encryptMessage.json.php` carecen de cualquier verificación de autenticación, exponiendo la generación de claves que consume mucha CPU a usuarios anónimos. El commit 00d979d87f8182095c8150609153a43f834e351e contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en AVideo de WWBN (CVE-2026-33493)
Fecha de publicación:
23/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, el endpoint 'objects/import.json.php' acepta un parámetro POST 'fileURI' controlado por el usuario con solo una verificación de expresión regular de que el valor termina en '.mp4'. A diferencia de 'objects/listFiles.json.php', que fue reforzado con una verificación de prefijo de directorio + 'realpath()' para restringir las rutas al directorio 'videos/', 'import.json.php' no realiza ninguna restricción de directorio. Esto permite a un usuario autenticado con permiso de carga: (1) robar los archivos de video privados de cualquier otro usuario importándolos a su propia cuenta, (2) leer archivos '.txt' / '.html' / '.htm' adyacentes a cualquier archivo '.mp4' en el sistema de archivos, y (3) eliminar archivos '.mp4' y archivos de texto adyacentes si son escribibles por el proceso del servidor web. El commit e110ff542acdd7e3b81bdd02b8402b9f6a61ad78 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026
Suscribirse a Vulnerabilidades