Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en xlnt de xlnt-community (CVE-2026-3663)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se encontró una vulnerabilidad en xlnt-community xlnt hasta la versión 1.6.1. Este problema afecta a la función xlnt::detail::compound_document_istreambuf::xsgetn del archivo source/detail/cryptography/compound_document.cpp del componente XLSX File Parser. Realizar una manipulación resulta en una lectura fuera de límites. El ataque solo es posible con acceso local. El exploit se ha hecho público y podría ser utilizado. El parche se llama 147. Se recomienda aplicar un parche para solucionar este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en xlnt de xlnt-community (CVE-2026-3664)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se determinó una vulnerabilidad en xlnt-community xlnt hasta 1.6.1. La función xlnt::detail::compound_document::read_directory del archivo source/detail/cryptography/compound_document.cpp del componente Encrypted XLSX File Parser se ve afectada. La ejecución de una manipulación puede llevar a una lectura fuera de límites. El ataque está restringido a la ejecución local. El exploit ha sido divulgado públicamente y puede ser utilizado. Este parche se llama 147. Se aconseja aplicar un parche para resolver este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en zitadel (CVE-2026-29193)
Fecha de publicación:
07/03/2026
Idioma:
Español
ZITADEL es una plataforma de gestión de identidades de código abierto. Desde la versión 4.0.0 hasta la 4.12.0, una vulnerabilidad en la interfaz de usuario (UI) de inicio de sesión V2 de Zitadel permitía a los usuarios eludir el comportamiento de inicio de sesión y las políticas de seguridad, y autorregistrarse para nuevas cuentas o iniciar sesión con contraseña incluso si las opciones correspondientes estaban deshabilitadas en su organización. Este problema ha sido parcheado en la versión 4.12.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en zitadel (CVE-2026-29192)
Fecha de publicación:
07/03/2026
Idioma:
Español
ZITADEL es una plataforma de gestión de identidades de código abierto. Desde la versión 4.0.0 hasta la 4.11.1, se descubrió una vulnerabilidad en la interfaz de inicio de sesión V2 de Zitadel que permitía una posible toma de control de cuenta a través de la redirección de URI predeterminada. Este problema ha sido parcheado en la versión 4.12.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en zitadel (CVE-2026-29191)
Fecha de publicación:
07/03/2026
Idioma:
Español
ZITADEL es una plataforma de gestión de identidades de código abierto. Desde la versión 4.0.0 hasta la 4.11.1, fue descubierta una vulnerabilidad en la interfaz de inicio de sesión V2 de Zitadel que permitía una posible toma de control de cuenta mediante XSS en el endpoint /saml-post. Este problema ha sido parcheado en la versión 4.12.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/03/2026

Vulnerabilidad en backstage (CVE-2026-29186)
Fecha de publicación:
07/03/2026
Idioma:
Español
Backstage es un framework abierto para construir portales de desarrolladores. Antes de la versión 1.14.3, esta es una vulnerabilidad de omisión de configuración que permite la ejecución de código arbitrario. El paquete @backstage/plugin-techdocs-node utiliza una lista de permitidos para filtrar claves de configuración peligrosas de MkDocs durante el proceso de compilación de la documentación. Una brecha en esta lista de permitidos permite a los atacantes crear un mkdocs.yml que provoca la ejecución de código Python arbitrario, eludiendo completamente los controles de seguridad de TechDocs. Este problema ha sido parcheado en la versión 1.14.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en backstage (CVE-2026-29184)
Fecha de publicación:
07/03/2026
Idioma:
Español
Backstage es un framework abierto para construir portales de desarrolladores. Antes de la versión 3.1.4, una plantilla de andamiaje maliciosa puede eludir el mecanismo de redacción de registros para exfiltrar secretos proporcionados que se ejecutan a través de los registros de eventos de tareas. Este problema ha sido parcheado en la versión 3.1.4.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/04/2026

Vulnerabilidad en backstage (CVE-2026-29185)
Fecha de publicación:
07/03/2026
Idioma:
Español
Backstage es un framework abierto para construir portales de desarrolladores. Antes de la versión 1.20.1, una vulnerabilidad en el análisis de URL de SCM utilizado por las integraciones de Backstage permitía que secuencias de salto de ruta en formato codificado se incluyeran en las rutas de archivo. Cuando estas URL eran procesadas por funciones de integración que construyen URL de API, los segmentos de salto de ruta podían redirigir solicitudes a puntos finales de API de proveedores de SCM no deseados utilizando las credenciales de integración del lado del servidor configuradas. Este problema ha sido parcheado en la versión 1.20.1.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/04/2026

Vulnerabilidad en zitadel (CVE-2026-29067)
Fecha de publicación:
07/03/2026
Idioma:
Español
ZITADEL es una plataforma de gestión de identidades de código abierto. Desde la versión 4.0.0-rc.1 hasta la 4.7.0, existe una potencial vulnerabilidad en el mecanismo de restablecimiento de contraseña de ZITADEL en el inicio de sesión V2. ZITADEL utiliza el encabezado Forwarded o X-Forwarded-Host de las solicitudes entrantes para construir la URL del enlace de confirmación de restablecimiento de contraseña. Este enlace, que contiene un código secreto, se envía luego por correo electrónico al usuario. Este problema ha sido parcheado en la versión 4.7.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en WL-NU516U1 de Wavlink (CVE-2026-3662)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Wavlink WL-NU516U1 240425. Esta vulnerabilidad afecta a la función usb_p910 del archivo /cgi-bin/adm.cgi. Dicha manipulación del argumento Pr_mode conduce a una inyección de comandos. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en WL-NU516U1 de Wavlink (CVE-2026-3661)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Wavlink WL-NU516U1 240425. Esto afecta a la función ota_new_upgrade del archivo /cgi-bin/adm.cgi. Esta manipulación del argumento model causa inyección de comandos. Es posible iniciar el ataque de forma remota. El exploit ha sido publicado y puede ser utilizado. Se contactó con el fabricante con antelación sobre esta divulgación.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en dpkg de Debian (CVE-2026-2219)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se descubrió que dpkg-deb (un componente de dpkg, el sistema de gestión de paquetes de Debian) no valida correctamente el final del flujo de datos al descomprimir un archivo .deb comprimido con zstd, lo que puede resultar en denegación de servicio (bucle infinito que consume la CPU).
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2026
Suscribirse a Vulnerabilidades