Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en go2ismail Free-CRM (CVE-2026-3265)
Fecha de publicación:
26/02/2026
Idioma:
Español
Se identificó una vulnerabilidad en go2ismail Free-CRM hasta b83c40a90726d5e58f0cc680ffdcaa28a03fb5d1. Esto afecta una parte desconocida del archivo /api/Security/ del componente Security API. La manipulación conduce a una autorización indebida. El ataque es posible de llevar a cabo remotamente. El exploit está disponible públicamente y podría ser utilizado. Este producto adopta una estrategia de lanzamiento continuo para mantener la entrega continua. Por lo tanto, los detalles de la versión para las versiones afectadas o actualizadas no pueden especificarse. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en psi-probe PSI Probe (CVE-2026-3268)
Fecha de publicación:
26/02/2026
Idioma:
Español
Una vulnerabilidad fue detectada en psi-probe PSI Probe hasta la versión 5.3.0. El elemento afectado es una función desconocida del archivo psi-probe-core/src/main/java/psiprobe/controllers/sessions/RemoveSessAttributeController.java del componente Gestor de Atributos de Sesión. Realizar una manipulación resulta en controles de acceso inadecuados. El ataque puede ser iniciado remotamente. El exploit ahora es público y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en go2ismail Free-CRM (CVE-2026-3264)
Fecha de publicación:
26/02/2026
Idioma:
Español
Se determinó una vulnerabilidad en go2ismail Free-CRM hasta b83c40a90726d5e58f0cc680ffdcaa28a03fb5d1. Afectada por este problema es alguna funcionalidad desconocida del componente Interfaz Administrativa. Ejecutar una manipulación puede llevar a la ejecución después de redirección. El ataque puede ser ejecutado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. Este producto implementa una publicación continua para entrega en curso, lo que significa que la información de la versión para las publicaciones afectadas o actualizadas no está disponible. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Initiative (CVE-2026-28276)
Fecha de publicación:
26/02/2026
Idioma:
Español
Initiative es una plataforma de gestión de proyectos autoalojada. Existe una vulnerabilidad de control de acceso en las versiones de Initiative anteriores a la 0.32.2 donde los documentos subidos se sirven desde un directorio /uploads/ de acceso público sin ninguna comprobación de autenticación o autorización. Cualquier archivo subido puede ser accedido directamente a través de su URL por usuarios no autenticados (por ejemplo, en una sesión de navegador de incógnito), lo que lleva a la posible divulgación de documentos sensibles. El problema fue parcheado en la v0.32.2, y el parche fue mejorado aún más en la 0.32.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en Initiative (CVE-2026-28275)
Fecha de publicación:
26/02/2026
Idioma:
Español
Initiative es una plataforma de gestión de proyectos autoalojada. Las versiones de la aplicación anteriores a la 0.32.4 no invalidan los tokens de acceso JWT emitidos previamente después de que un usuario cambia su contraseña. Como resultado, los tokens más antiguos permanecen válidos hasta su expiración y aún pueden utilizarse para acceder a puntos finales de API protegidos. Este comportamiento permite el acceso autenticado continuado incluso después de que la contraseña de la cuenta haya sido actualizada. La versión 0.32.4 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en Initiative (CVE-2026-28274)
Fecha de publicación:
26/02/2026
Idioma:
Español
Initiative es una plataforma de gestión de proyectos autohospedada. Las versiones de la aplicación anteriores a la 0.32.4 son vulnerables a Cross-Site Scripting Almacenado (XSS) en la funcionalidad de carga de documentos. Cualquier usuario con permisos de carga dentro de la sección 'Initiatives' puede cargar un archivo .html o .htm malicioso como documento. Debido a que el archivo HTML cargado se sirve bajo el origen de la aplicación sin un sandboxing adecuado, el JavaScript incrustado se ejecuta en el contexto de la aplicación. Como resultado, los tokens de autenticación, las cookies de sesión u otros datos sensibles pueden ser exfiltrados a un servidor controlado por el atacante. Además, dado que el archivo cargado está alojado bajo el dominio de la aplicación, simplemente compartir el enlace directo al archivo puede resultar en la ejecución del script malicioso al ser accedido. La versión 0.32.4 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en osctrl (CVE-2026-28280)
Fecha de publicación:
26/02/2026
Idioma:
Español
osctrl es una solución de gestión de osquery. Antes de la versión 0.5.0, existe una vulnerabilidad de cross-site scripting (XSS) almacenado en la lista de consultas bajo demanda de 'osctrl-admin'. Un usuario con permisos a nivel de consulta puede inyectar JavaScript arbitrario a través del parámetro de consulta al ejecutar una consulta bajo demanda. La carga útil se almacena y se ejecuta en el navegador de cualquier usuario (incluidos los administradores) que visita la página de la lista de consultas. Esto se puede encadenar con la extracción de tokens CSRF para escalar privilegios y realizar acciones como el usuario conectado. Un atacante con permisos a nivel de consulta (el nivel de privilegio más bajo) puede ejecutar JavaScript arbitrario en los navegadores de todos los usuarios que ven la lista de consultas. Dependiendo de su nivel de acceso, puede llevar a un compromiso total de la plataforma si un administrador ejecuta la carga útil. El problema está solucionado en osctrl 'v0.5.0'. Como solución alternativa, restrinja los permisos a nivel de consulta a usuarios de confianza, supervise la lista de consultas en busca de cargas útiles sospechosas, y/o revise las cuentas de usuario de osctrl en busca de administradores no autorizados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/02/2026

Vulnerabilidad en osctrl (CVE-2026-28279)
Fecha de publicación:
26/02/2026
Idioma:
Español
osctrl es una solución de gestión de osquery. Antes de la versión 0.5.0, existe una vulnerabilidad de inyección de comandos del sistema operativo en la configuración del entorno de `osctrl-admin`. Un administrador autenticado puede inyectar comandos de shell arbitrarios a través del parámetro de nombre de host al crear o editar entornos. Estos comandos se incrustan en scripts de una sola línea de inscripción generados usando el paquete `text/template` de Go (que no realiza el escape de shell) y se ejecutan en cada punto final que se inscribe usando el entorno comprometido. Un atacante con acceso de administrador puede lograr la ejecución remota de código en cada punto final que se inscribe usando el entorno comprometido. Los comandos se ejecutan como root/SYSTEM (el nivel de privilegio utilizado para la inscripción de osquery) antes de que se instale osquery, sin dejar rastro de auditoría a nivel de agente. Esto permite la instalación de puertas traseras, la exfiltración de credenciales y el compromiso total del punto final. Esto se corrige en osctrl `v0.5.0`. Como solución alternativa, restrinja el acceso de administrador de osctrl a personal de confianza, revise las configuraciones de entorno existentes en busca de nombres de host sospechosos y/o monitoree los scripts de inscripción en busca de comandos inesperados.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/02/2026

Vulnerabilidad en Phishing Club (CVE-2026-28226)
Fecha de publicación:
26/02/2026
Idioma:
Español
Phishing Club es un framework de simulación de phishing y man-in-the-middle. Antes de la versión 1.30.2, existe una vulnerabilidad de inyección SQL autenticada en el endpoint de listado de destinatarios GetOrphaned en versiones anteriores a la v1.30.2. El endpoint construye una consulta SQL en bruto y concatena el valor sortBy controlado por el usuario directamente en la cláusula ORDER BY sin validación de lista de permitidos. Debido a que los valores desconocidos se pasan silenciosamente a través de 'RemapOrderBy()', un atacante autenticado puede inyectar expresiones SQL en la cláusula 'ORDER BY'. Este problema fue parcheado en la v1.30.2 al validar la columna de ordenación contra una lista de permitidos y limpiar las asignaciones desconocidas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en SteVe (CVE-2026-28230)
Fecha de publicación:
26/02/2026
Idioma:
Español
SteVe es un sistema de gestión de estaciones de carga de vehículos eléctricos de código abierto. En versiones hasta la 3.11.0 inclusive, cuando un cargador envía un mensaje StopTransaction, SteVe busca la transacción únicamente por transactionId (un entero secuencial que comienza en 1) sin verificar que el cargador solicitante coincida con el cargador que inició originalmente la transacción. Cualquier cargador autenticado puede terminar la sesión activa de cualquier otro cargador en toda la red. La causa raíz se encuentra en OcppServerRepositoryImpl.getTransaction() que consulta únicamente por transactionId sin una verificación de propiedad de chargeBoxId. El validador verifica que la transacción existe y no está ya detenida, pero nunca verifica la identidad. Como un atacante que controla un único cargador registrado, podría enumerar IDs de transacción secuenciales y enviar mensajes StopTransaction dirigidos a sesiones activas en todos los demás cargadores de la red simultáneamente. Combinado con FINDING-014 (endpoints SOAP no autenticados), ni siquiera se requiere un cargador registrado; el ataque es ejecutable con un solo comando curl que requiere solo un chargeBoxId conocido. El commit 7f169c6c5b36a9c458ec41ce8af581972e5c724e contiene una solución para el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en Kiteworks (CVE-2026-28269)
Fecha de publicación:
26/02/2026
Idioma:
Español
Kiteworks es una red de datos privada (PDN). Antes de la versión 9.2.0, una vulnerabilidad en la funcionalidad de ejecución de comandos de Kiteworks permite a usuarios autenticados redirigir la salida de comandos a ubicaciones de archivo arbitrarias. Esto podría ser explotado para sobrescribir archivos críticos del sistema y obtener acceso elevado. La versión 9.2.0 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en hoppscotch (CVE-2026-28217)
Fecha de publicación:
26/02/2026
Idioma:
Español
hoppscotch es un ecosistema de desarrollo de API de código abierto. Antes de la versión 2026.2.0, la consulta GraphQL 'userCollection' acepta un ID de colección arbitrario y devuelve los datos completos de la colección — incluyendo título, tipo y el campo 'data' serializado que contiene solicitudes HTTP con encabezados y potencialmente secretos — a cualquier usuario autenticado, sin verificar que el usuario solicitante sea el propietario de la colección. Esto es una Referencia Directa a Objeto Insegura (IDOR) causada por una verificación de autorización faltante que existe en cualquier otra operación en el mismo *resolver*. La versión 2026.2.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades