Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Hitachi Configuration Manager (CVE-2025-0976)
Fecha de publicación:
25/02/2026
Idioma:
Español
Vulnerabilidad de Exposición de Información en Hitachi Ops Center API Configuration Manager, Hitachi Configuration Manager. Este problema afecta a Hitachi Ops Center API Configuration Manager: desde 10.0.0-00 antes de 11.0.4-00; Hitachi Configuration Manager: desde 8.6.1-00 antes de 11.0.5-00.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en interface_traduction_objets de SPIP (CVE-2026-27745)
Fecha de publicación:
25/02/2026
Idioma:
Español
Las versiones del plugin SPIP interface_traduction_objets anteriores a la 4.3.3 contienen una vulnerabilidad de ejecución remota de código autenticada en el flujo de trabajo de la interfaz de traducción. El plugin incorpora datos de solicitud no confiables en un campo de formulario oculto que se renderiza sin el filtrado de salida de SPIP. Debido a que los campos prefijados con un guion bajo eluden los mecanismos de protección y el contenido oculto se renderiza con el filtrado deshabilitado, un atacante autenticado con privilegios de nivel de editor puede inyectar contenido elaborado que se evalúa a través de la cadena de procesamiento de plantillas de SPIP, lo que resulta en la ejecución de código en el contexto del servidor web.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en jeux de SPIP (CVE-2026-27746)
Fecha de publicación:
25/02/2026
Idioma:
Español
Las versiones del plugin SPIP jeux anteriores a la 4.1.1 contienen una vulnerabilidad de cross-site scripting (XSS) reflejado en el pipeline pre_propre. El plugin incorpora parámetros de solicitud no confiables en la salida HTML sin una codificación de salida adecuada, lo que permite a los atacantes inyectar contenido de script arbitrario en páginas que renderizan un bloque jeux. Cuando se induce a una víctima a visitar una URL manipulada, el contenido inyectado se refleja en la respuesta y se ejecuta en el contexto del navegador de la víctima.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en SPIP (CVE-2026-27747)
Fecha de publicación:
25/02/2026
Idioma:
Español
Las versiones del plugin SPIP interface_traduction_objets anteriores a la 2.2.2 contienen una vulnerabilidad de inyección SQL autenticada en interface_traduction_objets_pipelines.php. Al manejar solicitudes de traducción, el plugin lee el parámetro id_parent de la entrada proporcionada por el usuario y lo concatena directamente en una cláusula WHERE de SQL en una llamada a sql_getfetsel() sin validación de entrada ni parametrización. Un atacante autenticado con privilegios de nivel de editor puede inyectar expresiones SQL manipuladas en el parámetro id_parent para manipular la consulta de backend. La explotación exitosa puede resultar en la divulgación o modificación del contenido de la base de datos y puede llevar a la denegación de servicio dependiendo de la configuración y los privilegios de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/03/2026

Vulnerabilidad en libvips (CVE-2026-3147)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se encontró una vulnerabilidad en libvips hasta 8.18.0. Esta afecta a la función vips_foreign_load_csv_build del archivo libvips/foreign/csvload.c que si se manipula se puede provocar un desbordamiento de búfer basado en montículo. El ataque requiere un enfoque local. El exploit ha sido hecho público y podría ser usado. El parche se identifica como b3ab458a25e0e261cbd1788474bbc763f7435780. Es aconsejable implementar el parche para corregir este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en FreeScout (CVE-2026-27637)
Fecha de publicación:
25/02/2026
Idioma:
Español
FreeScout es un servicio de asistencia técnica gratuito y un buzón compartido creado con el marco Laravel de PHP. Antes de la versión 1.8.206, el middleware 'TokenAuth' de FreeScout utiliza un token de autenticación predecible calculado como 'MD5(user_id + created_at + APP_KEY)'. Este token es estático (nunca expira/rota), y si un atacante obtiene la 'APP_KEY' — un vector de exposición bien documentado y común en aplicaciones Laravel — pueden calcular un token válido para cualquier usuario, incluido el administrador, logrando una toma de control total de la cuenta sin ninguna contraseña. Esta vulnerabilidad puede ser explotada por sí misma o en combinación con CVE-2026-27636. La versión 1.8.206 corrige ambas vulnerabilidades.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/02/2026

Vulnerabilidad en mercator de dbarzin (CVE-2026-27639)
Fecha de publicación:
25/02/2026
Idioma:
Español
Mercator es una aplicación web de código abierto diseñada para permitir el mapeo de sistemas de información. Una vulnerabilidad de cross-site scripting (XSS) almacenado existe en Mercator antes de la versión 2026.02.22 debido al uso de directivas Blade sin escapar ('{!! !!}') en las plantillas de visualización. Un usuario autenticado con el rol de usuario puede inyectar cargas útiles de JavaScript arbitrarias en campos como 'punto de contacto' al crear o editar entidades. La carga útil se ejecuta entonces en el navegador de cualquier usuario que vea la página afectada, incluidos los administradores. La versión 2026.02.22 corrige la vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en tfplan2md (CVE-2026-27640)
Fecha de publicación:
25/02/2026
Idioma:
Español
tfplan2md es un software para convertir archivos JSON de planos de Terraform en informes Markdown legibles por humanos. Antes de la versión 1.26.1, un error en tfplan2md afectó a varias rutas de renderizado distintas: propiedades del cuerpo de recursos de AzApi, grupos de variables de AzureDevOps, variables de contexto de plantillas Scriban y detección de sensibilidad jerárquica. Esto provocó que los informes renderizaran valores que deberían haber sido enmascarados como '(sensitive)' en su lugar. Este problema está solucionado en la v1.26.1. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v4.0: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en Flask-Reuploaded de Flask (CVE-2026-27641)
Fecha de publicación:
25/02/2026
Idioma:
Español
Flask-Reuploaded proporciona carga de archivos para Flask. Una vulnerabilidad crítica de salto de ruta y omisión de extensión en versiones anteriores a la 1.5.0 permite a atacantes remotos lograr escritura arbitraria de archivos y ejecución remota de código a través de Inyección de Plantillas del Lado del Servidor (SSTI). Flask-Reuploaded ha sido parcheado en la versión 1.5.0. Hay disponibles algunas soluciones alternativas. No pase entradas de usuario al parámetro 'name', use solo nombres de archivo autogenerados, e implemente una estricta validación de entrada si se tiene que usar 'name'.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/02/2026

Vulnerabilidad en plugin SPIP referer_spam (CVE-2026-27743)
Fecha de publicación:
25/02/2026
Idioma:
Español
Las versiones del plugin SPIP referer_spam anteriores a la 1.3.0 contienen una vulnerabilidad de inyección SQL no autenticada en los manejadores de acción referer_spam_ajouter y referer_spam_supprimer. Los manejadores leen el parámetro url de una solicitud GET y lo interpolan directamente en cláusulas SQL LIKE sin validación de entrada ni parametrización. Los endpoints no aplican comprobaciones de autorización y no utilizan protecciones de acción de SPIP como securiser_action(), lo que permite a atacantes en remoto ejecutar consultas SQL arbitrarias.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/03/2026

Vulnerabilidad en tickets de SPIP (CVE-2026-27744)
Fecha de publicación:
25/02/2026
Idioma:
Español
El plugin SPIP tickets versiones anteriores a la 4.3.3 contienen una vulnerabilidad de ejecución remota de código no autenticada en el manejo de la vista previa del foro para páginas públicas de tickets. El plugin añade parámetros de solicitud no confiables en HTML que luego es renderizado por una plantilla usando renderizado de entorno sin filtrar (#ENV**), lo que desactiva el filtrado de salida de SPIP. Como resultado, un atacante no autenticado puede inyectar contenido diseñado que es evaluado a través de la cadena de procesamiento de plantillas de SPIP, lo que lleva a la ejecución de código en el contexto del servidor web.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
27/02/2026

Vulnerabilidad en enclave de agentfront (CVE-2026-27597)
Fecha de publicación:
25/02/2026
Idioma:
Español
Enclave es un sandbox seguro de JavaScript diseñado para la ejecución segura de código de agentes de IA. Antes de la versión 2.11.1, es posible evadir los límites de seguridad establecidos por `@enclave-vm/core`, lo que puede utilizarse para lograr ejecución remota de código (RCE). El problema ha sido solucionado en la versión 2.11.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades