Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en llama.cpp de ggml-org (CVE-2026-2069)
Fecha de publicación:
06/02/2026
Idioma:
Español
Se ha encontrado un fallo en ggml-org llama.cpp hasta 55abc39. La función afectada es llama_grammar_advance_stack del archivo llama.cpp/src/llama-grammar.cpp del componente GBNF Grammar Handler. Esta manipulación causa desbordamiento de búfer basado en pila. El ataque necesita ser lanzado localmente. El exploit ha sido publicado y puede ser usado. Nombre del parche: 18993. Para solucionar este problema, se recomienda desplegar un parche.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en Spree (CVE-2026-25758)
Fecha de publicación:
06/02/2026
Idioma:
Español
Spree es una solución de comercio electrónico de código abierto construida con Ruby on Rails. Existe una vulnerabilidad IDOR crítica en el flujo de pago como invitado de Spree Commerce que permite a cualquier usuario invitado vincular direcciones de invitado arbitrarias a su pedido manipulando los parámetros de ID de dirección. Esto permite el acceso no autorizado a la información de identificación personal (PII) de otros invitados, incluyendo nombres, direcciones y números de teléfono. La vulnerabilidad elude las comprobaciones de validación de propiedad existentes y afecta a todas las transacciones de pago como invitado. Esta vulnerabilidad está corregida en 4.10.3, 5.0.8, 5.1.10, 5.2.7 y 5.3.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en OpenProject de OPF (CVE-2026-25764)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Antes de las versiones 16.6.7 y 17.0.3, una vulnerabilidad de inyección HTML ocurre en la función de seguimiento de tiempo de OpenProject. La aplicación no escapa las etiquetas HTML, un atacante con privilegios de administrador puede crear un paquete de trabajo con el nombre que contiene las etiquetas HTML y añadirlo a la sección de Paquetes de trabajo al crear el seguimiento de tiempo. Este problema ha sido parcheado en las versiones 16.6.7 y 17.0.3.
Gravedad CVSS v3.1: BAJA
Última modificación:
13/02/2026

Vulnerabilidad en Sliver de BishopFox (CVE-2026-25760)
Fecha de publicación:
06/02/2026
Idioma:
Español
Sliver es un framework de comando y control que utiliza un netstack Wireguard personalizado. Anterior a 1.6.11, un salto de ruta en el subsistema de contenido del sitio web permite a un operador autenticado leer archivos arbitrarios en el host del servidor Sliver. Esto es un problema de salto de ruta autenticado / lectura de archivos arbitrarios, y puede exponer credenciales, configuraciones y claves. Esta vulnerabilidad está corregida en 1.6.11.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en OpenProject (CVE-2026-25763)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenProject is an open-source, web-based project management software. Prior to versions 16.6.7 and 17.0.3, an arbitrary file write vulnerability exists in OpenProject’s repository changes endpoint (/projects/:project_id/repository/changes) when rendering the “latest changes” view via git log. By supplying a specially crafted rev value (for example, rev=--output=/tmp/poc.txt), an attacker can inject git log command-line options. When OpenProject executes the SCM command, Git interprets the attacker-controlled rev as an option and writes the output to an attacker-chosen path. As a result, any user with the :browse_repository permission on the project can create or overwrite arbitrary files that the OpenProject process user is permitted to write. The written contents consist of git log output, but by crafting custom commits the attacker can still upload valid shell scripts, ultimately leading to RCE. The RCE lets the attacker create a reverse shell to the target host and view confidential files outside of OpenProject, such as /etc /passwd. This issue has been patched in versions 16.6.7 and 17.0.3.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/02/2026

Vulnerabilidad en BeyondTrust Remote Support (CVE-2026-1731)
Fecha de publicación:
06/02/2026
Idioma:
Español
BeyondTrust Remote Support (RS) y ciertas versiones anteriores de Privileged Remote Access (PRA) contienen una crítica vulnerabilidad de ejecución remota de código de pre-autenticación. Al enviar solicitudes especialmente diseñadas, un atacante remoto no autenticado podría ejecutar comandos del sistema operativo en el contexto del usuario del sitio.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
17/02/2026

Vulnerabilidad en Homarr de Homarr-labs (CVE-2026-25123)
Fecha de publicación:
06/02/2026
Idioma:
Español
Homarr es un panel de control de código abierto. Antes de la versión 1.52.0, un endpoint tRPC público (no autenticado) widget.app.ping acepta una URL arbitraria y realiza una solicitud del lado del servidor a esa URL. Esto permite a un atacante no autenticado activar solicitudes HTTP salientes desde el servidor de Homarr, lo que habilita el comportamiento SSRF y una primitiva fiable de escaneo de puertos (los puertos abiertos frente a los cerrados pueden inferirse del código de estado frente a la falla de la solicitud y el tiempo). Esta vulnerabilidad está corregida en la versión 1.52.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2026

Vulnerabilidad en Payload de PayloadCMS (CVE-2026-25544)
Fecha de publicación:
06/02/2026
Idioma:
Español
Payload es un sistema de gestión de contenido 'headless' de código abierto y gratuito. Antes de la versión 3.73.0, al consultar campos JSON o richText, la entrada del usuario se incrustaba directamente en SQL sin escapar, lo que permitía ataques de inyección SQL ciega. Un atacante no autenticado podría extraer datos sensibles (correos electrónicos, tokens de restablecimiento de contraseña) y lograr una toma de control completa de la cuenta sin descifrar contraseñas. Esta vulnerabilidad está corregida en la versión 3.73.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/02/2026

Vulnerabilidad en Enclave de Agentfront (CVE-2026-25533)
Fecha de publicación:
06/02/2026
Idioma:
Español
Enclave es un sandbox seguro de JavaScript diseñado para la ejecución segura de código de agentes de IA. Antes de 2.10.1, las capas de seguridad existentes en enclave-vm son insuficientes: La sanitización AST puede ser eludida con accesos dinámicos a propiedades, el endurecimiento de los objetos de error no cubre el comportamiento peculiar o del módulo vm y la prevención de acceso al constructor de funciones puede ser eludida aprovechando referencias a objetos del host. Esta vulnerabilidad está corregida en 2.10.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en Nicegui de Zauberzeug (CVE-2026-25516)
Fecha de publicación:
06/02/2026
Idioma:
Español
NiceGUI es un framework de interfaz de usuario (UI) basado en Python. El componente ui.markdown() utiliza la biblioteca markdown2 para convertir contenido markdown a HTML, que luego se renderiza a través de innerHTML. Por defecto, markdown2 permite que el HTML sin procesar pase sin cambios. Esto significa que si una aplicación renderiza contenido controlado por el usuario a través de ui.markdown(), un atacante puede inyectar HTML malicioso que contenga manejadores de eventos de JavaScript. A diferencia de otros componentes de NiceGUI que renderizan HTML (ui.html(), ui.chat_message(), ui.interactive_image()), el componente ui.markdown() no proporciona ni requiere un parámetro de saneamiento, dejando las aplicaciones vulnerables a ataques XSS. Esta vulnerabilidad se corrige en la versión 3.7.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en Payload de PayloadCMS (CVE-2026-25574)
Fecha de publicación:
06/02/2026
Idioma:
Español
Payload es un sistema de gestión de contenido sin interfaz, de código abierto y gratuito. Antes de la versión 3.74.0, existe una vulnerabilidad de Referencia Directa Insegura a Objeto (IDOR) entre colecciones en la colección interna payload-preferences. En entornos de colecciones de autenticación múltiple que utilizan Postgres o SQLite con IDs seriales/auto-incrementales predeterminados, los usuarios autenticados de una colección de autenticación pueden leer y eliminar preferencias que pertenecen a usuarios en diferentes colecciones de autenticación cuando sus IDs numéricos colisionan. Esta vulnerabilidad ha sido parcheada en la versión 3.74.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en NiceGUIde Zauberzeug (CVE-2026-25732)
Fecha de publicación:
06/02/2026
Idioma:
Español
NiceGUI es un framework de UI basado en Python. Antes de la versión 3.7.0, la propiedad FileUpload.name de NiceGUI expone metadatos de nombre de archivo proporcionados por el cliente sin sanitización, lo que permite el salto de ruta cuando los desarrolladores usan el patrón UPLOAD_DIR / file.name. Nombres de archivo maliciosos que contienen secuencias ../ permiten a los atacantes escribir archivos fuera de los directorios previstos, con potencial de ejecución remota de código a través de la sobrescritura de archivos de la aplicación en patrones de despliegue vulnerables. Este diseño crea un riesgo de seguridad autoinducido prevalente que afecta a las aplicaciones que siguen patrones comunes de la comunidad. Nota: La explotación requiere código de aplicación que incorpore file.name en las rutas del sistema de archivos sin sanitización. Las aplicaciones que usan rutas fijas, nombres de archivo generados o sanitización explícita no se ven afectadas. Esta vulnerabilidad está corregida en la versión 3.7.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/02/2026
Suscribirse a Vulnerabilidades