Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SiYuan (CVE-2026-23847)
Fecha de publicación:
19/01/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Las versiones anteriores a la 3.5.4 son vulnerables a cross-site scripting reflejado en /API/icon/getDynamicIcon debido a una entrada SVG no saneada. El endpoint genera imágenes SVG para iconos de texto (type=8). El parámetro de consulta content se inserta directamente en la etiqueta SVG sin escape XML. Dado que el Content-Type de la respuesta es image/svg+xml, la inyección de etiquetas sin escape permite romper la estructura XML y ejecutar JavaScript. La versión 3.5.4 corrige el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
30/01/2026

Vulnerabilidad en SiYuan (CVE-2026-23851)
Fecha de publicación:
19/01/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Las versiones anteriores a la 3.5.4 contienen una vulnerabilidad de lógica en el endpoint /api/file/globalCopyFiles. La función permite a los usuarios autenticados copiar archivos desde cualquier ubicación del sistema de archivos del servidor al espacio de trabajo de la aplicación sin una validación de ruta adecuada. La vulnerabilidad existe en el código fuente api/file.go. La función globalCopyFiles acepta una lista de rutas de origen (srcs) del cuerpo de la solicitud JSON. Aunque el código verifica si el archivo de origen existe usando filelock.IsExist(src), no valida si la ruta de origen reside dentro del directorio de espacio de trabajo autorizado. La versión 3.5.4 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/01/2026

Vulnerabilidad en SiYuan (CVE-2026-23852)
Fecha de publicación:
19/01/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Las versiones anteriores a la 3.5.4 tienen una vulnerabilidad de cross-site scripting (XSS) almacenado que permite a un atacante inyectar atributos HTML arbitrarios en el atributo 'icon' de un bloque a través de la API '/api/attr/setBlockAttrs'. La carga útil se renderiza posteriormente en la función de icono dinámico en un contexto no saneado, lo que lleva a XSS almacenado y, en el entorno de escritorio, a una posible ejecución remota de código (RCE). Este problema elude la corrección anterior para el problema '#15970' (XSS ? RCE a través de iconos dinámicos). La versión 3.5.4 contiene una corrección actualizada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en wings de pterodactyl (CVE-2026-21696)
Fecha de publicación:
19/01/2026
Idioma:
Español
Wings es el plano de control del servidor para Pterodactyl, un panel de gestión de servidores de juegos gratuito y de código abierto. A partir de la versión 1.7.0 y antes de la versión 1.12.0, Wings no considera el límite máximo de parámetros de SQLite al procesar las entradas del registro de actividad, lo que permite a un usuario con pocos privilegios activar una condición que inunda el panel con registros de actividad. Después de que Wings envía los registros de actividad al panel, elimina las entradas de actividad procesadas de la base de datos SQLite de Wings. Sin embargo, no considera el límite máximo de parámetros de SQLite, 32766 a partir de SQLite 3.32.0. Si Wings intenta eliminar más de 32766 entradas de la base de datos SQLite en una sola consulta, activa un error (error de lógica SQL: demasiadas variables SQL (1)) y no elimina ninguna entrada de la base de datos. Estas entradas son entonces reprocesadas indefinidamente y reenviadas al panel cada vez que se ejecuta el cron. Al explotar con éxito esta vulnerabilidad, un atacante puede desencadenar una situación en la que Wings seguirá subiendo los mismos datos de actividad al panel repetidamente (creciendo cada vez para incluir nueva actividad) hasta que el servidor de la base de datos del panel se quede sin espacio en disco. La versión 1.12.0 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en SiYuan (CVE-2026-23850)
Fecha de publicación:
19/01/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. En versiones anteriores a la 3.5.4, la característica de markdown permite la renderización HTML sin restricciones del lado del servidor, lo que permite la lectura arbitraria de archivos (LFD). La versión 3.5.4 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/04/2026

Vulnerabilidad en panel de pterodactyl (CVE-2025-69199)
Fecha de publicación:
19/01/2026
Idioma:
Español
Wings es el plano de control del servidor para Pterodactyl, un panel de gestión de servidores de juegos gratuito y de código abierto. Antes de la versión 1.12.0, los websockets dentro de Wings carecen de una adecuada limitación de velocidad y estrangulamiento. Como resultado, un usuario malintencionado puede abrir un gran número de conexiones y luego solicitar datos a través de estos sockets, causando un volumen excesivo de datos en la red y sobrecargando la memoria y la CPU del sistema anfitrión. Además, no se aplica un límite al tamaño total de los mensajes enviados o recibidos, lo que permite a un usuario malintencionado abrir miles de conexiones websocket y luego enviar volúmenes masivos de información a través del socket, sobrecargando la red del anfitrión y causando una mayor carga de CPU y memoria dentro de Wings. La versión 1.12.0 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en prime de birkir (CVE-2026-1173)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en birkir prime hasta la versión 0.4.0.beta.0. El elemento afectado es una función desconocida del archivo /graphql del componente GraphQL Array Based Query Batch Handler. La manipulación resulta en denegación de servicio. El ataque puede ser ejecutado de forma remota. El exploit ha sido hecho público y podría ser utilizado. El proyecto fue informado del problema con antelación a través de un informe de incidencias, pero aún no ha respondido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en prime de birkir (CVE-2026-1174)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se determinó una vulnerabilidad en birkir prime hasta la versión 0.4.0.beta.0. Esto afecta a una función desconocida del archivo /graphql del componente GraphQL Alias Handler. Esta manipulación causa consumo de recursos. El ataque puede ser llevado a cabo de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. El proyecto fue notificado del problema tempranamente a través de un informe de incidencias, pero aún no ha respondido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en Movary de leepeuker (CVE-2026-23840)
Fecha de publicación:
19/01/2026
Idioma:
Español
Movary es una aplicación web para rastrear, calificar y explorar tu historial de películas vistas. Debido a una validación de entrada insuficiente, los atacantes pueden activar cargas útiles de cross-site scripting en versiones anteriores a la 0.70.0. El parámetro vulnerable es '?categoryDeleted='. La versión 0.70.0 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/02/2026

Vulnerabilidad en Movary de leepeuker (CVE-2026-23841)
Fecha de publicación:
19/01/2026
Idioma:
Español
Movary es una aplicación web para rastrear, calificar y explorar tu historial de películas vistas. Debido a una validación de entrada insuficiente, los atacantes pueden activar cargas útiles de cross-site scripting en versiones anteriores a la 0.70.0. El parámetro vulnerable es '?categoryCreated='. La versión 0.70.0 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/02/2026

Vulnerabilidad en Mailpit de Axllent (CVE-2026-23845)
Fecha de publicación:
19/01/2026
Idioma:
Español
Mailpit es una herramienta de prueba de correo electrónico y API para desarrolladores. Las versiones anteriores a la 1.28.3 son vulnerables a la falsificación de petición del lado del servidor (SSRF) a través de la descarga de CSS de la función HTML Check. La función HTML Check ('/api/v1/message/{ID}/html-check') está diseñada para analizar correos electrónicos HTML para compatibilidad. Durante este proceso, la función 'inlineRemoteCSS()' descarga automáticamente archivos CSS de etiquetas externas ' para incrustarlos para pruebas. La versión 1.28.3 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en HotCRP (CVE-2026-23878)
Fecha de publicación:
19/01/2026
Idioma:
Español
HotCRP es un software de revisión de conferencias. A partir del commit aa20ef288828b04550950cf67c831af8a525f508 y antes del commit ceacd5f1476458792c44c6a993670f02c984b4a0, los autores con al menos una entrega en un sitio de HotCRP podían usar la API de documentos para descargar cualquier documento (PDFs, adjuntos) asociado con cualquier entrega. El problema fue parcheado en el commit ceacd5f1476458792c44c6a993670f02c984b4a0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026
Suscribirse a Vulnerabilidades