Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Blockchain (CVE-2026-3192)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en Chia Blockchain 2.1.0. Este problema afecta la función _authenticate del archivo rpc_server_base.py del componente Gestor de Credenciales RPC. La manipulación conduce a una autenticación impropia. El ataque es posible de ser llevado a cabo remotamente. El ataque se considera que tiene alta complejidad. La explotabilidad se evalúa como difícil. El exploit ha sido divulgado públicamente y puede ser usado. El proveedor fue informado tempranamente vía correo electrónico. Un informe separado vía bugbounty fue rechazado con la razón 'Esto es por diseño. El usuario es responsable de la seguridad del host'.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Blockchain (CVE-2026-3193)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se detectó una vulnerabilidad en Chia Blockchain 2.1.0. Afectada es una función desconocida del archivo /send_transaction. La manipulación resulta en falsificación de petición en sitios cruzados. El ataque puede ser realizado desde remoto. El ataque requiere un alto nivel de complejidad. La explotabilidad es considerada difícil. El exploit es ahora público y puede ser usado. El proveedor fue informado temprano vía correo electrónico. Un informe separado vía bugbounty fue rechazado con la razón 'Esto es por diseño. El usuario es responsable de la seguridad del host'.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en OneUptime (CVE-2026-27728)
Fecha de publicación:
25/02/2026
Idioma:
Español
OneUptime es una solución para monitorear y gestionar servicios en línea. Antes de la versión 10.0.7, una vulnerabilidad de inyección de comandos del sistema operativo en `NetworkPathMonitor.performTraceroute()` permite a cualquier usuario de proyecto autenticado ejecutar comandos arbitrarios del sistema operativo en el servidor Probe al inyectar metacaracteres de shell en el campo de destino de un monitor. La versión 10.0.7 corrige la vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/03/2026

Vulnerabilidad en BigBlueButton (CVE-2026-27736)
Fecha de publicación:
25/02/2026
Idioma:
Español
BigBlueButton es un aula virtual de código abierto. En versiones de la rama 3.x anteriores a la 3.0.20, la cadena recibida con errorRedirectUrl carece de validación, usarla directamente en la función respondWithRedirect conduce a una vulnerabilidad de redirección abierta. BigBlueButton 3.0.20 corrige el problema. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en Angular SSR (CVE-2026-27738)
Fecha de publicación:
25/02/2026
Idioma:
Español
El Angular SSR es una herramienta de renderizado del lado del servidor para aplicaciones Angular. Una vulnerabilidad de redirección abierta existe en la lógica interna de procesamiento de URL en versiones de la rama 19.x anteriores a la 19.2.21, la rama 20.x anteriores a la 20.3.17, y la rama 21.x anteriores a la 21.1.5 y 21.2.0-rc.1. La lógica normaliza los segmentos de URL eliminando las barras iniciales; sin embargo, solo elimina una única barra inicial. Cuando una aplicación Angular SSR se despliega detrás de un proxy que pasa el encabezado `X-Forwarded-Prefix`, un atacante puede proporcionar un valor que comienza con tres barras. Esta vulnerabilidad permite a los atacantes realizar phishing a gran escala y secuestro de SEO. Para ser vulnerable, la aplicación debe usar Angular SSR, la aplicación debe tener rutas que realicen redirecciones internas, la infraestructura (Proxy Inverso/CDN) debe pasar el encabezado `X-Forwarded-Prefix` al proceso SSR sin sanitización, y la caché no debe variar según el encabezado `X-Forwarded-Prefix`. Las versiones 21.2.0-rc.1, 21.1.5, 20.3.17 y 19.2.21 contienen un parche. Hasta que se aplique el parche, los desarrolladores deben sanear el encabezado `X-Forwarded-Prefix` en su 'server.ts' antes de que el motor de Angular procese la solicitud.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Linksys (CVE-2026-27849)
Fecha de publicación:
25/02/2026
Idioma:
Español
Debido a la falta de neutralización de elementos especiales, se pueden inyectar comandos del sistema operativo a través de la funcionalidad de actualización de una conexión TLS-SRP, que normalmente se utiliza para configurar dispositivos dentro de la red de malla.<br /> Este problema afecta a MR9600: 1.0.4.205530; MX4200: 1.0.13.210200.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Plane (CVE-2026-27705)
Fecha de publicación:
25/02/2026
Idioma:
Español
Plane es una herramienta de gestión de proyectos de código abierto. Antes de la versión 1.2.2, el método `ProjectAssetEndpoint.patch()` en `apps/api/plane/app/views/asset/v2.py` (líneas 579–593) realiza una búsqueda global de activos utilizando solo el ID del activo (`pk`) a través de `FileAsset.objects.get(id=pk)`, sin verificar que el activo pertenece al espacio de trabajo y al proyecto especificados en la ruta de la URL. Esto permite a cualquier usuario autenticado (incluidos aquellos con el rol GUEST) modificar el estado de `attributes` e `is_uploaded` de activos pertenecientes a cualquier espacio de trabajo o proyecto en toda la instancia de Plane adivinando o enumerando los UUID de los activos. La versión 1.2.2 soluciona el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Plane (CVE-2026-27706)
Fecha de publicación:
25/02/2026
Idioma:
Español
Plane es una herramienta de gestión de proyectos de código abierto. Antes de la versión 1.2.2, se ha identificado una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) de lectura completa en la característica &amp;#39;Add Link&amp;#39;. Esta falla permite a un atacante autenticado con privilegios de usuario generales enviar peticiones GET arbitrarias a la red interna y exfiltrar el cuerpo completo de la respuesta. Al explotar esta vulnerabilidad, un atacante puede robar datos sensibles de servicios internos y puntos finales de metadatos en la nube. La versión 1.2.2 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en mchange-commons-java (CVE-2026-27727)
Fecha de publicación:
25/02/2026
Idioma:
Español
mchange-commons-java, una librería que proporciona utilidades de Java, incluye código que emula implementaciones tempranas de la funcionalidad JNDI, incluyendo soporte para valores remotos de `factoryClassLocation`, mediante los cuales se puede descargar e invocar código dentro de una aplicación en ejecución. Si un atacante puede provocar que una aplicación lea un `jaxax.naming.Reference` o un objeto serializado maliciosamente diseñado, pueden provocar la descarga y ejecución de código malicioso. Las implementaciones de esta funcionalidad dentro del JDK fueron deshabilitadas por defecto detrás de una propiedad de sistema que por defecto es `false`, `com.sun.jndi.ldap.object.trustURLCodebase`. Sin embargo, dado que mchange-commons-java incluye una implementación independiente de la desreferenciación JNDI, las librerías (como c3p0) que resuelven referencias a través de esa implementación podrían ser provocadas para descargar y ejecutar código malicioso incluso después de que el JDK fuera reforzado. Emulando el parche del JDK, la funcionalidad JNDI de mchange-commons-java está restringida por parámetros de configuración que por defecto tienen valores restrictivos a partir de la versión 0.4.0. No se conocen soluciones alternativas disponibles. Las versiones anteriores a la 0.4.0 deben evitarse en los CLASSPATH de las aplicaciones.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en OpenFUN Richie (CVE-2026-26717)
Fecha de publicación:
25/02/2026
Idioma:
Español
Un problema en OpenFUN Richie (LMS) en src/richie/apps/courses/api.py. La aplicación utilizó el operador == de tiempo no constante para la verificación de firmas HMAC en la función sync_course_run_from_request. Esto permite a atacantes remotos forjar firmas válidas y eludir la autenticación midiendo las discrepancias en el tiempo de respuesta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Cisco Catalyst SD-WAN Manager (CVE-2026-20129)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad en la autenticación de usuarios de la API de Cisco Catalyst SD-WAN Manager podría permitir a un atacante remoto no autenticado obtener acceso a un sistema afectado como un usuario con el rol de netadmin.<br /> <br /> La vulnerabilidad se debe a una autenticación incorrecta para las solicitudes que se envían a la API. Un atacante podría explotar esta vulnerabilidad enviando una solicitud manipulada a la API de un sistema afectado. Un exploit exitoso podría permitir al atacante ejecutar comandos con los privilegios del rol de netadmin.<br /> Nota: Las versiones 20.18 y posteriores de Cisco Catalyst SD-WAN Manager no se ven afectadas por esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/03/2026

Vulnerabilidad en Cisco Catalyst SD-WAN Manager (CVE-2026-20133)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad en Cisco Catalyst SD-WAN Manager podría permitir a un atacante remoto no autenticado ver información sensible en un sistema afectado.<br /> <br /> Esta vulnerabilidad se debe a restricciones de acceso al sistema de archivos insuficientes. Un atacante podría explotar esta vulnerabilidad al acceder a la API de un sistema afectado. Un exploit exitoso podría permitir al atacante leer información sensible en el sistema operativo subyacente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026
Suscribirse a Vulnerabilidades