Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en EZCast Pro II (CVE-2026-24344)
Fecha de publicación:
27/01/2026
Idioma:
Español
Múltiples desbordamientos de búfer en la UI de administración de EZCast Pro II versión 1.17478.146 permiten a los atacantes causar un fallo del programa y potencial ejecución remota de código.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Grafana (CVE-2026-21721)
Fecha de publicación:
27/01/2026
Idioma:
Español
La API de permisos del panel no verifica el alcance del panel de destino y solo comprueba la acción dashboards.permissions:*. Como resultado, un usuario que tiene derechos de gestión de permisos en un panel puede leer y modificar permisos en otros paneles. Esto es una escalada de privilegios interna de la organización.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2026

Vulnerabilidad en Link Invoice Payment (CVE-2025-14971)
Fecha de publicación:
27/01/2026
Idioma:
Español
El plugin Link Invoice Payment para WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en las funciones createPartialPayment y cancelPartialPayment en todas las versiones hasta la 2.8.0, inclusive. Esto hace posible que atacantes no autenticados creen pagos parciales en cualquier pedido o cancelen cualquier pago parcial existente mediante enumeración de ID.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en beat-access (CVE-2026-21408)
Fecha de publicación:
27/01/2026
Idioma:
Español
beat-access para Windows versión 3.0.3 y anteriores contiene un problema con la ruta de búsqueda de DLL, lo que puede llevar a la carga insegura de librerías de Enlace Dinámico. Como resultado, se puede ejecutar código arbitrario con privilegios de SYSTEM.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en ASDA-Soft (CVE-2026-1361)
Fecha de publicación:
27/01/2026
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer basado en pila de ASDA-Soft.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2026

Vulnerabilidad en hustoj de zhblue (CVE-2026-24479)
Fecha de publicación:
27/01/2026
Idioma:
Español
HUSTOF es un juez en línea de código abierto basado en PHP/C++/MySQL/Linux para entrenamiento de ACM/ICPC y NOIP. Antes de la versión 26.01.24, los módulos problem_import_qduoj.php y problem_import_hoj.php no logran sanear correctamente los nombres de archivo dentro de los archivos ZIP subidos. Los atacantes pueden crear un archivo ZIP malicioso que contenga archivos con secuencias de salto de ruta (p. ej., ../../shell.php). Cuando es extraído por el servidor, esto permite escribir archivos en ubicaciones arbitrarias en la raíz web, lo que lleva a la Ejecución Remota de Código (RCE). La versión 26.01.24 contiene una solución para el problema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/03/2026

Vulnerabilidad en python-multipart de Kludex (CVE-2026-24486)
Fecha de publicación:
27/01/2026
Idioma:
Español
Python-Multipart es un analizador multipart en streaming para Python. Antes de la versión 0.0.22, existe una vulnerabilidad de salto de ruta al usar opciones de configuración no predeterminadas 'UPLOAD_DIR' y 'UPLOAD_KEEP_FILENAME=True'. Un atacante puede escribir archivos subidos en ubicaciones arbitrarias del sistema de archivos al crear un nombre de archivo malicioso. Los usuarios deben actualizar a la versión 0.0.22 para recibir un parche o, como solución alternativa, evitar usar 'UPLOAD_KEEP_FILENAME=True' en las configuraciones del proyecto.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2026

Vulnerabilidad en MobSF (CVE-2026-24490)
Fecha de publicación:
27/01/2026
Idioma:
Español
MobSF es una herramienta de prueba de seguridad de aplicaciones móviles. Antes de la versión 4.4.5, una vulnerabilidad de Cross-site Scripting (XSS) Almacenado en el análisis del manifiesto de Android de MobSF permite a un atacante ejecutar JavaScript arbitrario en el contexto de la sesión del navegador de una víctima al subir un APK malicioso. El atributo `android:host` de los elementos `` se renderiza en informes HTML sin sanitización, permitiendo el secuestro de sesión y la toma de control de cuentas. La versión 4.4.5 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2026

Vulnerabilidad en go-tuf de theupdateframework (CVE-2026-24686)
Fecha de publicación:
27/01/2026
Idioma:
Español
go-tuf es una implementación en Go de The Update Framework (TUF). El cliente Multirepo TAP 4 de go-tuf utiliza la cadena del nombre del repositorio del archivo de mapa ('repoName') como un componente de ruta del sistema de archivos al seleccionar el directorio de caché de metadatos local. A partir de la versión 2.0.0 y antes de la versión 2.4.1, si una aplicación acepta un archivo de mapa de una fuente no confiable, un atacante puede proporcionar un 'repoName' que contenga recorrido (p. ej., '../escaped-repo') y hacer que go-tuf cree directorios y escriba el archivo de metadatos raíz fuera de la base de caché 'LocalMetadataDir' prevista, dentro de los permisos del sistema de archivos del proceso en ejecución. La versión 2.4.1 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en QGIS de qgis (CVE-2026-24480)
Fecha de publicación:
27/01/2026
Idioma:
Español
QGIS es un sistema de información geográfica (SIG) gratuito, de código abierto y multiplataforma. El repositorio contiene un flujo de trabajo de GitHub Actions llamado 'pre-commit checks' que, antes del commit 76a693cd91650f9b4e83edac525e5e4f90d954e9, era vulnerable a la ejecución remota de código y al compromiso del repositorio porque utilizaba el disparador 'pull_request_target' y luego extraía y ejecutaba código de solicitud de extracción no confiable en un contexto privilegiado. Los flujos de trabajo disparados por 'pull_request_target' se ejecutaban con las credenciales del repositorio base y acceso a los secretos. Si estos flujos de trabajo luego extraían y ejecutaban código de la cabecera de una solicitud de extracción externa (que podría haber sido controlado por el atacante), el atacante podría haber ejecutado comandos arbitrarios con privilegios elevados. Este patrón inseguro ha sido documentado como un riesgo de seguridad por GitHub y los investigadores de seguridad. El commit 76a693cd91650f9b4e83edac525e5e4f90d954e9 eliminó el código vulnerable.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Gakido (CVE-2026-24489)
Fecha de publicación:
27/01/2026
Idioma:
Español
Gakido es un cliente HTTP de Python centrado en la suplantación de navegadores y la evasión de bots. Se descubrió una vulnerabilidad en Gakido anterior a la versión 0.1.1 que permitía la inyección de encabezados HTTP a través de secuencias CRLF (retorno de carro y salto de línea) en los valores y nombres de los encabezados proporcionados por el usuario. Al realizar solicitudes HTTP con valores de encabezado controlados por el usuario que contienen caracteres `\r\n` (CRLF), `\n` (LF) o `\x00` (byte nulo), un atacante podía inyectar encabezados HTTP arbitrarios en la solicitud. La corrección en la versión 0.1.1 añade una función `_sanitize_header()` que elimina los caracteres `\r`, `\n` y `\x00` tanto de los nombres como de los valores de los encabezados antes de que se incluyan en las solicitudes HTTP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en SAP Fiori App Intercompany Balance Reconciliation (CVE-2026-23683)
Fecha de publicación:
27/01/2026
Idioma:
Español
SAP Fiori App Intercompany Balance Reconciliation no realiza las comprobaciones de autorización necesarias para un usuario autenticado, lo que resulta en una escalada de privilegios. Esto tiene un bajo impacto en la confidencialidad, la integridad y la disponibilidad no se ven impactadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades