Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenMetadata (CVE-2026-26010)
Fecha de publicación:
11/02/2026
Idioma:
Español
OpenMetadata es una plataforma de metadatos unificada. Anterior a la 1.11.8, las llamadas emitidas por la UI contra /api/v1/ingestionPipelines filtraban JWTs utilizados por ingestion-bot para ciertos servicios (Glue / Redshift / Postgres). Cualquier usuario de solo lectura puede obtener acceso a una cuenta altamente privilegiada, típicamente la que tiene el Rol de Bot de Ingestión. Esto permite cambios destructivos en las instancias de OpenMetadata y una posible fuga de datos (por ejemplo, datos de muestra o metadatos de servicio que no estarían disponibles según los roles/políticas). Esta vulnerabilidad está corregida en la versión 1.11.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en Pion DTLS (CVE-2026-26014)
Fecha de publicación:
11/02/2026
Idioma:
Español
Pion DTLS es una implementación en Go de Datagram Transport Layer Security. Las versiones v1.0.0 a v3.0.10 y 3.1.0 de Pion DTLS usan generación de nonce aleatorio con cifrados AES GCM, lo que facilita a los atacantes remotos obtener la clave de autenticación y falsificar datos aprovechando la reutilización de un nonce en una sesión y un 'ataque prohibido'. Actualice a v3.0.11, v3.1.1, o posterior.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en BusyBox (CVE-2026-26157)
Fecha de publicación:
11/02/2026
Idioma:
Español
Se encontró una vulnerabilidad en BusyBox. La sanitización incompleta de rutas en sus utilidades de extracción de archivos permite a un atacante crear archivos maliciosos que, al ser extraídos y bajo condiciones específicas, pueden escribir en archivos fuera del directorio previsto. Esto puede llevar a una sobrescritura arbitraria de archivos, lo que podría permitir la ejecución de código mediante la modificación de archivos de sistema sensibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en BusyBox (CVE-2026-26158)
Fecha de publicación:
11/02/2026
Idioma:
Español
Se encontró una falla en BusyBox. Esta vulnerabilidad permite a un atacante modificar archivos fuera del directorio de extracción previsto al crear un archivo tar malicioso que contiene entradas de hardlink o symlink no validadas. Si el archivo tar se extrae con privilegios elevados, esta falla puede conducir a una escalada de privilegios, permitiendo a un atacante obtener acceso no autorizado a archivos críticos del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Vikunja (CVE-2026-25935)
Fecha de publicación:
11/02/2026
Idioma:
Español
Vikunja es una aplicación de tareas para organizar tu vida. Antes de la 1.1.0, TaskGlanceTooltip.vue crea temporalmente un div y establece el innerHtml a la descripción. Dado que no hay escape ni en el lado del servidor ni en el del cliente, un usuario malicioso puede compartir un proyecto, crear una tarea maliciosa y causar un XSS al pasar el ratón por encima. Esta vulnerabilidad está corregida en la 1.1.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en Pillow (CVE-2026-25990)
Fecha de publicación:
11/02/2026
Idioma:
Español
Pillow es una librería de procesamiento de imágenes de Python. Desde la versión 10.3.0 hasta antes de la 12.1.1, una escritura fuera de límites puede ser activada al cargar una imagen PSD especialmente manipulada. Esta vulnerabilidad está corregida en la versión 12.1.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en PJSIP (CVE-2026-25994)
Fecha de publicación:
11/02/2026
Idioma:
Español
PJSIP es una librería de comunicación multimedia de código abierto y gratuita escrita en C. En 2.16 y versiones anteriores, existe una vulnerabilidad de desbordamiento de búfer en la sesión ICE de PJNATH al procesar credenciales con nombres de usuario excesivamente largos.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en Klaw (CVE-2026-25999)
Fecha de publicación:
11/02/2026
Idioma:
Español
Klaw es una herramienta/portal de autoservicio para la gestión/gobernanza de temas de Apache Kafka. Antes de la versión 2.10.2, existe una vulnerabilidad de control de acceso inadecuado que permite a usuarios no autorizados activar un restablecimiento o eliminación de metadatos para cualquier inquilino. Al enviar una solicitud manipulada al endpoint /resetMemoryCache, un atacante puede borrar configuraciones, entornos y datos de clúster almacenados en caché. Esta vulnerabilidad se corrigió en la versión 2.10.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en Kanboard (CVE-2026-25924)
Fecha de publicación:
11/02/2026
Idioma:
Español
Kanboard es un software de gestión de proyectos centrado en la metodología Kanban. Antes de la 1.2.50, una vulnerabilidad de omisión de control de seguridad en Kanboard permite a un administrador autenticado lograr la ejecución remota de código (RCE) completa. Aunque la aplicación oculta correctamente la interfaz de instalación de plugins cuando la configuración PLUGIN_INSTALLER está establecida en falso, el endpoint de backend subyacente no verifica esta configuración de seguridad. Un atacante puede explotar este descuido para forzar al servidor a descargar e instalar un plugin malicioso, lo que lleva a la ejecución de código arbitrario. Esta vulnerabilidad está corregida en la 1.2.50.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en Statmatic (CVE-2026-25759)
Fecha de publicación:
11/02/2026
Idioma:
Español
Statmatic es un sistema de gestión de contenido (CMS) impulsado por Laravel y Git. Desde la 6.0.0 hasta antes de la 6.2.3, una vulnerabilidad de XSS almacenado en los títulos de contenido permite a usuarios autenticados con permisos de creación de contenido inyectar JavaScript malicioso que se ejecuta cuando es visto por usuarios con mayores privilegios. El usuario malicioso debe tener una cuenta con acceso al panel de control y permisos de creación de contenido. Esta vulnerabilidad puede ser explotada para permitir la creación de cuentas de superadministrador. Esto ha sido corregido en la 6.2.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Outline (CVE-2025-68663)
Fecha de publicación:
11/02/2026
Idioma:
Español
Outline es un servicio que permite la documentación colaborativa. Antes de la 1.1.0, se encontró una vulnerabilidad en el mecanismo de autenticación WebSocket de Outline que permite a los usuarios suspendidos mantener o establecer conexiones WebSocket en tiempo real y seguir recibiendo actualizaciones operativas sensibles después de que su cuenta haya sido suspendida. Esta vulnerabilidad está corregida en la 1.1.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en Outline (CVE-2026-25062)
Fecha de publicación:
11/02/2026
Idioma:
Español
Outline es un servicio que permite la documentación colaborativa. Antes de 1.4.0, durante el proceso de importación de JSON, el valor de attachments[].key del JSON importado se pasa directamente a path.join(rootPath, node.key) y luego se lee usando fs.readFile sin validación. Al incrustar secuencias de salto de ruta como ../ o rutas absolutas, un atacante puede leer archivos arbitrarios en el servidor e importarlos como adjuntos. Esta vulnerabilidad se corrigió en 1.4.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026
Suscribirse a Vulnerabilidades