Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Kimai (CVE-2026-28685)
Fecha de publicación:
06/03/2026
Idioma:
Español
Kimai es una aplicación de seguimiento de tiempo multiusuario basada en web. Antes de la versión 2.51.0, 'GET /API/invoices/{id}' solo verifica el permiso view_invoice basado en roles, pero no verifica que el usuario solicitante tenga acceso al cliente de la factura. Cualquier usuario con ROLE_TEAMLEAD (que otorga view_invoice) puede leer todas las facturas en el sistema, incluyendo aquellas que pertenecen a clientes asignados a otros equipos. Este problema ha sido parcheado en la versión 2.51.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2026

Vulnerabilidad en Ghostfolio (CVE-2026-28680)
Fecha de publicación:
06/03/2026
Idioma:
Español
Ghostfolio es un software de gestión de patrimonio de código abierto. Antes de la versión 2.245.0, un atacante puede explotar la función de importación manual de activos para realizar un SSRF de lectura completa, lo que les permite exfiltrar metadatos sensibles de la nube (IMDS) o sondear servicios de red internos. Este problema ha sido parcheado en la versión 2.245.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/03/2026

Vulnerabilidad en IRRd (CVE-2026-28681)
Fecha de publicación:
06/03/2026
Idioma:
Español
Demonio de Internet Routing Registry versión 4 es un servidor de base de datos IRR, que procesa objetos IRR en formato RPSL. Desde la versión 4.4.0 hasta antes de la versión 4.4.5 y desde la versión 4.5.0 hasta antes de la versión 4.5.1, un atacante puede manipular el encabezado HTTP Host en una solicitud de restablecimiento de contraseña o creación de cuenta. El enlace de confirmación en el correo electrónico resultante puede entonces apuntar a un dominio controlado por el atacante. Abrir el enlace en el correo electrónico es suficiente para pasar el token al atacante, quien puede entonces usarlo en la instancia real de IRRD para tomar control de la cuenta. Una cuenta comprometida puede entonces ser utilizada para modificar objetos RPSL mantenidos por los mntners de la cuenta y realizar otras acciones de la cuenta. Si el usuario tenía la autenticación de dos factores configurada, lo cual es requerido para usuarios con acceso de anulación, un atacante no puede iniciar sesión, incluso después de restablecer la contraseña con éxito. Este problema ha sido parcheado en las versiones 4.4.5 y 4.5.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2026

Vulnerabilidad en Home-Gallery.org (CVE-2026-28679)
Fecha de publicación:
06/03/2026
Idioma:
Español
Home-Gallery.org es una galería web de código abierto autoalojada para explorar fotos y videos personales. Antes de la versión 1.21.0, cuando un usuario solicita una descarga, la aplicación no verifica si el archivo solicitado se encuentra dentro del directorio de origen de medios, lo que puede resultar en que archivos sensibles del sistema también sean descargables. Este problema ha sido parcheado en la versión 1.21.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en OpenSift (CVE-2026-28677)
Fecha de publicación:
06/03/2026
Idioma:
Español
OpenSift es una herramienta de estudio de IA que filtra grandes conjuntos de datos utilizando búsqueda semántica e IA generativa. Antes de la versión 1.6.3-alpha, el pipeline de ingesta de URL aceptaba URL remotas controladas por el usuario con restricciones de destino incompletas. Aunque existían comprobaciones de host privado/local, la falta de restricciones para URL con credenciales, puertos no estándar y redirecciones entre hosts dejaban rutas de abuso de clase SSRF en despliegues que no eran localhost. Este problema ha sido parcheado en la versión 1.6.3-alpha.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en OpenSift (CVE-2026-28676)
Fecha de publicación:
06/03/2026
Idioma:
Español
OpenSift es una herramienta de estudio de IA que tamiza grandes conjuntos de datos utilizando búsqueda semántica e IA generativa. Antes de la versión 1.6.3-alpha, múltiples asistentes de almacenamiento utilizaban patrones de construcción de rutas que no aplicaban uniformemente la contención del directorio base. Esto creaba riesgo de inyección de rutas en los flujos de lectura/escritura/eliminación de archivos si se introducían valores maliciosos similares a rutas. Este problema ha sido parcheado en la versión 1.6.3-alpha.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en LangBot (CVE-2026-28509)
Fecha de publicación:
06/03/2026
Idioma:
Español
LangBot es una plataforma global de bots de mensajería instantánea (IM) diseñada para LLMs. Antes de la versión 4.8.7, la interfaz de usuario web de LangBot renderiza HTML sin procesar suministrado por el usuario utilizando rehypeRaw, lo que puede llevar a una vulnerabilidad de cross-site scripting (XSS). Este problema ha sido parcheado en la versión 4.8.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Idno (CVE-2026-28508)
Fecha de publicación:
06/03/2026
Idioma:
Español
Idno es una plataforma de publicación social. Antes de la versión 1.6.4, un error lógico en el flujo de autenticación de la API provoca que la protección CSRF en el endpoint del servicio de expansión de URL sea trivialmente eludida por cualquier atacante remoto no autenticado. Combinado con la ausencia de un requisito de inicio de sesión en el propio endpoint, esto permite a un atacante forzar al servidor a realizar solicitudes HTTP salientes arbitrarias a cualquier host, incluyendo direcciones de red internas y servicios de metadatos de instancias en la nube, y recuperar el contenido de la respuesta. Este problema ha sido parcheado en la versión 1.6.4.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
16/03/2026

Vulnerabilidad en OpenSift (CVE-2026-28675)
Fecha de publicación:
06/03/2026
Idioma:
Español
OpenSift es una herramienta de estudio de IA que tamiza grandes conjuntos de datos utilizando búsqueda semántica e IA generativa. Antes de la versión 1.6.3-alpha, algunos puntos finales devolvían cadenas de excepción en bruto a los clientes. Además, el material del token de inicio de sesión quedó expuesto en las respuestas de la interfaz de usuario/renderizadas y en la salida de rotación de tokens. Este problema ha sido parcheado en la versión 1.6.3-alpha.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en Idno (CVE-2026-28507)
Fecha de publicación:
06/03/2026
Idioma:
Español
Idno es una plataforma de publicación social. Antes de la versión 1.6.4, existe una vulnerabilidad de ejecución remota de código a través de la escritura encadenada de archivos de importación y el salto de ruta de plantilla. Este problema ha sido parcheado en la versión 1.6.4.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Chartbrew (CVE-2026-27605)
Fecha de publicación:
06/03/2026
Idioma:
Español
Chartbrew es una aplicación web de código abierto que puede conectarse directamente a bases de datos y APIs y usar los datos para crear gráficos. Antes de la versión 4.8.4, la aplicación permite subir archivos (logotipos de proyectos) sin validar el tipo o el contenido del archivo. Confía en la extensión proporcionada por el usuario. Estos archivos se guardan en el directorio uploads/ y se sirven de forma estática. Un atacante puede subir un archivo HTML que contenga JavaScript malicioso. Dado que los tokens de autenticación probablemente se almacenan en localStorage (ya que se devuelven en el cuerpo de la API), este XSS puede llevar a la toma de control de la cuenta. Este problema ha sido parcheado en la versión 4.8.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2026

Vulnerabilidad en Talishar (CVE-2026-28429)
Fecha de publicación:
06/03/2026
Idioma:
Español
Talishar es un proyecto de Flesh and Blood creado por fans. Antes del commit 6be3871, una vulnerabilidad de salto de ruta fue identificada en el parámetro gameName. Aunque los puntos de entrada principales de la aplicación implementan validación de entrada, el componente ParseGamestate.PHP puede ser accedido directamente como un script independiente. En este escenario, la ausencia de saneamiento interno permite que secuencias de salto de directorio (p. ej., ../) sean procesadas, lo que podría llevar a un acceso no autorizado a archivos. Este problema ha sido parcheado en el commit 6be3871.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2026
Suscribirse a Vulnerabilidades