Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SKSPro (CVE-2025-8587)
Fecha de publicación:
02/02/2026
Idioma:
Español
Vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un comando SQL ('Inyección SQL') en AKCE Software Technology R&D Industry and Trade Inc. SKSPro permite la inyección SQL. Este problema afecta a SKSPro: hasta el 07012026.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en run-llama/llama_index (CVE-2025-6208)
Fecha de publicación:
02/02/2026
Idioma:
Español
El componente 'SimpleDirectoryReader' en 'llama_index.core' versión 0.12.23 sufre de consumo de memoria descontrolado debido a un fallo en la gestión de recursos. La vulnerabilidad surge porque el límite de archivos especificado por el usuario ('num_files_limit') se aplica después de que todos los archivos de un directorio se cargan en la memoria. Esto puede provocar el agotamiento de la memoria y un rendimiento degradado, particularmente en entornos con recursos limitados. El problema se resuelve en la versión 0.12.41.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026

Vulnerabilidad en danny-avila/librechat (CVE-2025-7105)
Fecha de publicación:
02/02/2026
Idioma:
Español
Una vulnerabilidad en danny-avila/librechat permite a los atacantes explotar la función Fork sin restricciones en /api/convos/fork para bifurcar numerosos contenidos rápidamente. Si el contenido bifurcado incluye un gráfico Mermaid con un gran número de nodos, puede provocar un error de agotamiento de memoria del heap de JavaScript al reiniciar el servicio, causando una denegación de servicio. Este problema afecta a la última versión del producto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026

Vulnerabilidad en huggingface/text-generation-inference (CVE-2026-0599)
Fecha de publicación:
02/02/2026
Idioma:
Español
Una vulnerabilidad en huggingface/text-generation-inference versión 3.3.6 permite a atacantes remotos no autenticados explotar la obtención ilimitada de imágenes externas durante la validación de entrada en modo VLM. El problema surge cuando el router escanea las entradas en busca de enlaces de imagen Markdown y realiza una solicitud HTTP GET bloqueante, leyendo todo el cuerpo de la respuesta en la memoria y clonándolo antes de decodificar. Este comportamiento puede llevar al agotamiento de recursos, incluyendo la saturación del ancho de banda de la red, la inflación de memoria y la sobreutilización de la CPU. La vulnerabilidad se activa incluso si la solicitud es posteriormente rechazada por exceder los límites de tokens. La configuración de despliegue predeterminada, que carece de límites de uso de memoria y autenticación, exacerba el impacto, pudiendo provocar el bloqueo de la máquina anfitriona. El problema está resuelto en la versión 3.3.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026

Vulnerabilidad en mlflow/mlflow (CVE-2025-10279)
Fecha de publicación:
02/02/2026
Idioma:
Español
En mlflow versión 2.20.3, el directorio temporal utilizado para crear entornos virtuales de Python tiene asignados permisos inseguros de escritura global (0o777). Esta vulnerabilidad permite a un atacante con acceso de escritura al directorio `/tmp` explotar una condición de carrera y sobrescribir archivos `.py` en el entorno virtual, lo que lleva a la ejecución de código arbitrario. El problema está resuelto en la versión 3.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026

Vulnerabilidad en lunary-ai/lunary (CVE-2024-4147)
Fecha de publicación:
02/02/2026
Idioma:
Español
En la versión 1.2.13 de lunary-ai/lunary, una vulnerabilidad de granularidad insuficiente en el control de acceso permite a los usuarios eliminar prompts creados en otras organizaciones mediante la manipulación de ID. La vulnerabilidad se origina en la falta de validación por parte de la aplicación de la propiedad del prompt antes de la eliminación, solo verificando si el usuario tiene permisos para eliminar dichos recursos sin verificar si pertenece al proyecto u organización del usuario. Como resultado, los usuarios pueden eliminar prompts que no son propiedad de su organización o proyecto, lo que lleva a que usuarios legítimos no puedan acceder a los prompts eliminados y causando inconsistencias en la información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en lunary-ai/lunary (CVE-2024-5386)
Fecha de publicación:
02/02/2026
Idioma:
Español
En lunary-ai/lunary versión 1.2.2, existe una vulnerabilidad de secuestro de cuentas debido a una fuga de token de restablecimiento de contraseña. Un usuario con rol de 'viewer' puede explotar esta vulnerabilidad para secuestrar la cuenta de otro usuario al obtener el token de restablecimiento de contraseña. La vulnerabilidad se activa cuando el usuario con rol de 'viewer' envía una solicitud específica al servidor, que responde con un token de restablecimiento de contraseña en el parámetro 'recoveryToken'. Este token puede entonces ser utilizado para restablecer la contraseña de la cuenta de otro usuario sin autorización. El problema se debe a una superficie de ataque excesiva, permitiendo a usuarios con privilegios inferiores escalar sus privilegios y tomar el control de cuentas.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2026

Vulnerabilidad en h2oai/h2o-3 (CVE-2024-5986)
Fecha de publicación:
02/02/2026
Idioma:
Español
Una vulnerabilidad en h2oai/h2o-3 versión 3.46.0.1 permite a atacantes remotos escribir datos arbitrarios en cualquier archivo del servidor. Esto se logra explotando el endpoint '/3/Parse' para inyectar datos controlados por el atacante como la cabecera de un archivo vacío, que luego se exporta usando el endpoint '/3/Frames/framename/export'. El impacto de esta vulnerabilidad incluye el potencial de ejecución remota de código y acceso completo al sistema que ejecuta h2o-3, ya que los atacantes pueden sobrescribir archivos críticos como claves SSH privadas o archivos de script.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/02/2026

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-2356)
Fecha de publicación:
02/02/2026
Idioma:
Español
Una vulnerabilidad de inclusión local de ficheros (LFI) existe en el endpoint '/reinstall_extension' de la aplicación parisneo/lollms-webui, específicamente dentro del parámetro `name` de la ruta `@router.post("/reinstall_extension")`. Esta vulnerabilidad permite a los atacantes inyectar un parámetro `name` malicioso, lo que lleva al servidor a cargar y ejecutar ficheros Python arbitrarios del directorio de carga para discusiones. Este problema surge debido a la concatenación de `data.name` directamente con `lollmsElfServer.lollms_paths.extensions_zoo_path` y su uso como argumento para `ExtensionBuilder().build_extension()`. El manejo por parte del servidor del fichero `__init__.py` en ubicaciones arbitrarias, facilitado por `importlib.machinery.SourceFileLoader`, permite la ejecución de código arbitrario, como la ejecución de comandos o la creación de una conexión de shell inversa. Esta vulnerabilidad afecta a la última versión de parisneo/lollms-webui y puede conducir a la ejecución remota de código (RCE) cuando la aplicación está expuesta a un endpoint externo o a la interfaz de usuario, especialmente cuando está vinculada a `0.0.0.0` o en `modo headless`. No se requiere interacción del usuario para su explotación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/02/2026

Vulnerabilidad en la función Parser_parseDocument() en pupnp (CVE-2026-1117)
Fecha de publicación:
02/02/2026
Idioma:
Español
Una vulnerabilidad en el componente 'lollms_generation_events.py' de parisneo/lollms versión 5.9.0 permite acceso no autenticado a eventos sensibles de Socket.IO. La función 'add_events' registra manejadores de eventos como 'generate_text', 'cancel_generation', 'generate_msg' y 'generate_msg_from' sin implementar comprobaciones de autenticación o autorización. Esto permite a clientes no autenticados ejecutar operaciones que consumen muchos recursos o que alteran el estado, lo que lleva a una potencial denegación de servicio, corrupción de estado y condiciones de carrera. Además, el uso de indicadores globales ('lollmsElfServer.busy', 'lollmsElfServer.cancel_gen') para la gestión de estado en un entorno multi-cliente introduce vulnerabilidades adicionales, permitiendo que las acciones de un cliente afecten el estado del servidor y las operaciones de otros clientes. La falta de un control de acceso adecuado y la dependencia de una gestión de estado global insegura impacta significativamente la disponibilidad y la integridad del servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026

Vulnerabilidad en GitLab (CVE-2026-1751)
Fecha de publicación:
02/02/2026
Idioma:
Español
Se ha descubierto una vulnerabilidad en GitLab CE/EE que afecta a todas las versiones a partir de la 16.8 y anteriores a la 18.5.0 que podría haber permitido ediciones no autorizadas en las reglas de aprobación de solicitudes de fusión bajo ciertas condiciones.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/02/2026

Vulnerabilidad en Juniper Networks Junos OS (CVE-2024-54263)
Fecha de publicación:
02/02/2026
Idioma:
Español
Control inadecuado del nombre de fichero para la declaración include/require en un programa PHP, la vulnerabilidad de 'inclusión remota de ficheros PHP' en Talemy Spirit Framework permite la inclusión local de ficheros PHP. Este problema afecta a Spirit Framework: desde n/a hasta 1.2.13.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026
Suscribirse a Vulnerabilidades