Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en devalue de sveltejs (CVE-2026-30226)
Fecha de publicación:
11/03/2026
Idioma:
Español
Svelte devalue es una biblioteca JavaScript que serializa valores en cadenas cuando JSON.stringify no es suficiente para la tarea. En devalue v5.6.3 y anteriores, devalue.parse y devalue.unflatten eran susceptibles a la contaminación de prototipos a través de cargas útiles creadas maliciosamente. La explotación exitosa podría conducir a denegación de servicio (DoS) o confusión de tipos. Esta vulnerabilidad está corregida en 5.6.4.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Cortex XDR Agent de Palo Alto Networks (CVE-2026-0230)
Fecha de publicación:
11/03/2026
Idioma:
Español
Un problema con un mecanismo de protección en el agente Cortex XDR de Palo Alto Networks en macOS permite a un administrador local deshabilitar el agente. Este problema podría ser aprovechado por malware para realizar actividad maliciosa sin detección.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en Cortex XDR Broker VM de Palo Alto Networks (CVE-2026-0231)
Fecha de publicación:
11/03/2026
Idioma:
Español
Una vulnerabilidad de revelación de información en Palo Alto Networks Cortex XDR® Broker VM permite a un usuario autenticado obtener y modificar información sensible al activar una sesión de terminal en vivo a través de la interfaz de usuario de Cortex y modificar cualquier ajuste de configuración.<br /> El atacante debe tener acceso de red al Broker VM para explotar este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en Red Hat (CVE-2026-3429)
Fecha de publicación:
11/03/2026
Idioma:
Español
Se identificó una vulnerabilidad en la API REST de Cuentas de Keycloak que permite a un usuario autenticado con un nivel de seguridad inferior realizar acciones sensibles destinadas únicamente a sesiones de mayor garantía. Específicamente, un atacante que ya ha obtenido la contraseña de una víctima puede eliminar la credencial MFA/OTP registrada de la víctima sin probar primero la posesión de ese factor. El atacante puede entonces registrar su propio dispositivo MFA, tomando efectivamente el control total de la cuenta. Esta debilidad socava la protección prevista proporcionada por la autenticación multifactor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/04/2026

Vulnerabilidad en parse-server (CVE-2026-31840)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.2 y 8.6.28, un atacante puede usar un nombre de campo con notación de puntos en combinación con el parámetro de consulta &amp;#39;sort&amp;#39; para inyectar SQL en la base de datos PostgreSQL a través de un escape incorrecto de valores de subcampo en consultas con notación de puntos. La vulnerabilidad también puede afectar a las consultas que usan nombres de campo con notación de puntos con los parámetros de consulta &amp;#39;distinct&amp;#39; y &amp;#39;where&amp;#39;. Esta vulnerabilidad solo afecta a los despliegues que usan una base de datos PostgreSQL. Esta vulnerabilidad está corregida en 9.6.0-alpha.2 y 8.6.28.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/03/2026

Vulnerabilidad en ImageMagick (CVE-2026-31853)
Fecha de publicación:
11/03/2026
Idioma:
Español
ImageMagick es software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de 7.1.2-16 y 6.9.13-41, un desbordamiento en sistemas de 32 bits puede causar un fallo en el decodificador SFW al procesar imágenes extremadamente grandes. Esta vulnerabilidad está corregida en 7.1.2-16 y 6.9.13-41.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Supabase Auth (CVE-2026-31813)
Fecha de publicación:
11/03/2026
Idioma:
Español
Supabase Auth es una API basada en JWT para gestionar usuarios y emitir tokens JWT. Antes de la versión 2.185.0, se ha identificado una vulnerabilidad que permite a un atacante emitir sesiones para usuarios arbitrarios utilizando tokens de ID especialmente diseñados cuando los proveedores de Apple o Azure están habilitados. El atacante emite un token de ID válido, firmado asimétricamente, desde su emisor para cada dirección de correo electrónico de la víctima, el cual luego se envía al endpoint de tokens de Supabase Auth utilizando el flujo de tokens de ID. Si el token de ID cumple con OIDC, el servidor de Auth lo validaría contra el emisor controlado por el atacante y vincularía la identidad OIDC existente (Apple o Azure) de la víctima a una identidad OIDC adicional basada en el contenido del token de ID. El servidor de Auth emitiría entonces una sesión de usuario válida (tokens de acceso y de actualización) en el nivel AAL1 al atacante. Esta vulnerabilidad está corregida en la versión 2.185.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en cursor (CVE-2026-31854)
Fecha de publicación:
11/03/2026
Idioma:
Español
Cursor es un editor de código diseñado para programar con IA. Antes de 2.0, si un sitio web visitado contiene instrucciones creadas maliciosamente, el modelo podría intentar seguirlas para &amp;#39;asistir&amp;#39; al usuario. Cuando se combina con una omisión del mecanismo de lista blanca de comandos, tales inyecciones de prompt indirectas podrían resultar en la ejecución automática de comandos, sin la intención explícita del usuario, lo que representa un riesgo de seguridad significativo. Esta vulnerabilidad se ha corregido en 2.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en code-quality.yml de jellyfin (CVE-2026-31852)
Fecha de publicación:
11/03/2026
Idioma:
Español
Jellyfin es un sistema multimedia de código abierto. El flujo de trabajo de GitHub Actions &amp;#39;code-quality.yml&amp;#39; en jellyfin/jellyfin-ios es vulnerable a la ejecución de código arbitrario a través de solicitudes de extracción (pull requests) de repositorios bifurcados. Debido a los permisos elevados del flujo de trabajo (casi todos los permisos de escritura), esta vulnerabilidad permite la toma de control completa del repositorio jellyfin/jellyfin-ios, la exfiltración de secretos altamente privilegiados, un ataque a la cadena de suministro de la Apple App Store, el envenenamiento de paquetes del GitHub Container Registry (ghcr.io) y el compromiso completo de la organización jellyfin a través del uso de tokens entre repositorios. Nota: Esto no es una vulnerabilidad de código, sino una vulnerabilidad en los flujos de trabajo de GitHub Actions. No se requiere una nueva versión para esta GHSA y los usuarios finales no necesitan tomar ninguna medida.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2026

Vulnerabilidad en Striae (CVE-2026-31839)
Fecha de publicación:
11/03/2026
Idioma:
Español
Striae es un compañero de comparación para examinadores de armas de fuego. Existía una vulnerabilidad de omisión de integridad de alta gravedad en el flujo de trabajo de confirmación digital de Striae antes de la v3.0.0. La validación solo por hash confiaba en los campos de hash del manifiesto que podían ser modificados junto con el contenido del paquete, permitiendo que los paquetes de confirmación manipulados pasaran las comprobaciones de integridad. Esta vulnerabilidad está corregida en la 3.0.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en OpenProject (CVE-2026-30239)
Fecha de publicación:
11/03/2026
Idioma:
Español
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Antes de la versión 17.2.0, cuando se eliminan presupuestos, los paquetes de trabajo que estaban asignados a ese presupuesto deben ser movidos a un presupuesto diferente. Esta acción se realizaba antes de que se ejecutara la verificación de permisos sobre la acción de eliminación. Esto permitía a todos los usuarios de la aplicación eliminar las asignaciones de presupuesto de los paquetes de trabajo. Esta vulnerabilidad se corrige en la versión 17.2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en OpenProject (CVE-2026-30236)
Fecha de publicación:
11/03/2026
Idioma:
Español
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Antes de la 17.2.0, al editar un presupuesto de proyecto y planificar el costo de la mano de obra, no se verificaba que el usuario planificado en el presupuesto fuera realmente un miembro del proyecto. Esto exponía la tarifa predeterminada del usuario (si se había configurado una) a usuarios que solo deberían ver esa información para miembros del proyecto. Además, el endpoint que maneja el precálculo para que el frontend muestre una vista previa de los costos, mientras se introducían, tampoco validaba correctamente la membresía del usuario. Esto también permitía calcular costos con la tarifa predeterminada de no miembros. Esta vulnerabilidad está corregida en la 17.2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2026
Suscribirse a Vulnerabilidades