Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-27317
Fecha de publicación:
20/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
20/02/2026

CVE-2026-27318
Fecha de publicación:
20/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
20/02/2026

CVE-2026-2821
Fecha de publicación:
20/02/2026
Idioma:
Español
Se ha identificado una debilidad en el Sistema de Plataforma de Gestión Integrada Inteligente de Fujian hasta la versión 7.5 que afecta a una función desconocida del archivo /Module/CRXT/Controller/XCamera.ashx. La manipulación del argumento ChannelName provoca una inyección SQL. Es posible explotar el ataque en remoto. El exploit se ha puesto a disposición del público y podría ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-26995
Fecha de publicación:
20/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the issue is an external dependency vulnerability.
Gravedad: Pendiente de análisis
Última modificación:
20/02/2026

CVE-2026-26993
Fecha de publicación:
20/02/2026
Idioma:
Español
Flare es una plataforma autoalojable para compartir archivos basada en Next.js que se integra con herramientas de captura de pantalla. Las versiones 1.7.0 e inferiores permiten a los usuarios subir archivos sin una validación o saneamiento de contenido adecuados. Al incrustar JavaScript malicioso dentro de un SVG (u otros formatos de contenido activo como HTML o XML), un atacante puede lograr la ejecución de scripts en el contexto del origen de la aplicación cuando una víctima ve el archivo en modo 'raw'. Esto resulta en una vulnerabilidad de cross-site scripting (XSS) almacenado que puede ser explotada para exfiltrar datos de usuario. Este problema ha sido solucionado en la versión 1.7.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

CVE-2026-26994
Fecha de publicación:
20/02/2026
Idioma:
Español
uTLS es una bifurcación de crypto/tls, creado para personalizar ClientHello con el fin de resistir la identificación de huellas digitales mientras se sigue utilizando para el protocolo de enlace. En las versiones 1.6.7 y anteriores, uTLS no implementó el mecanismo de protección contra la degradación de TLS 1.3 especificado en la Sección 4.1.3 de RFC 8446 cuando se utiliza una especificación de ClientHello de uTLS. Esto permitió a un adversario de red activo degradar las conexiones TLS 1.3 iniciadas por un cliente de uTLS a una versión de TLS inferior (por ejemplo, TLS 1.2) modificando el mensaje ClientHello para excluir la extensión SupportedVersions, haciendo que el servidor responda con un ServerHello de TLS 1.2 (junto con un 'canary' de degradación en el campo aleatorio de ServerHello). Debido a que uTLS no verificó el 'canary' de degradación en el campo aleatorio de ServerHello, los clientes aceptarían la conexión degradada sin detectar el ataque. Este ataque también podría ser utilizado por un atacante de red activo para la huella digital de conexiones uTLS. Este problema ha sido solucionado en la versión 1.7.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

CVE-2026-26996
Fecha de publicación:
20/02/2026
Idioma:
Español
minimatch es una utilidad de coincidencia mínima para convertir expresiones glob en objetos RegExp de JavaScript. Las versiones 10.2.0 e inferiores son vulnerables a la denegación de servicio por expresión regular (ReDoS) cuando un patrón glob contiene muchos comodines * consecutivos seguidos de un carácter literal que no aparece en la cadena de prueba. Cada * se compila en un grupo de regex [^/]*? separado, y cuando la coincidencia falla, el motor de regex de V8 retrocede exponencialmente a través de todas las posibles divisiones. La complejidad temporal es O(4^N) donde N es el número de caracteres *. Con N=15, una sola llamada a minimatch() tarda ~2 segundos. Con N=34, se cuelga efectivamente para siempre. Cualquier aplicación que pase cadenas controladas por el usuario a minimatch() como argumento de patrón es vulnerable a DoS. Este problema ha sido solucionado en la versión 10.2.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

CVE-2026-27017
Fecha de publicación:
20/02/2026
Idioma:
Español
uTLS es un 'fork' de crypto/tls, creado para personalizar ClientHello para que resista la identificación de huellas digitales mientras se sigue utilizando para el protocolo de enlace. Las versiones 1.6.0 a 1.8.0 contienen una falta de coincidencia de huella digital con Chrome cuando se usa GREASE ECH, relacionada con la selección de la suite de cifrado. Cuando Chrome selecciona la suite de cifrado preferida en el ClientHello externo y para ECH, lo hace de forma consistente basándose en el soporte de hardware; por ejemplo, si prefiere AES para la suite de cifrado externa, también usa AES para ECH. Sin embargo, el 'loro' de Chrome en uTLS codifica de forma rígida la preferencia de AES para las suites de cifrado externas, pero selecciona la suite de cifrado ECH aleatoriamente entre AES y ChaCha20. Esto hace que haya un 50% de probabilidad de que se seleccione ChaCha20 para ECH mientras se usa AES para la suite de cifrado externa, una combinación imposible en Chrome. Este problema solo afecta a GREASE ECH; en ECH real, Chrome selecciona la primera suite de cifrado válida cuando se prefiere AES, lo cual uTLS maneja correctamente. Este problema ha sido solucionado en la versión 1.8.1.
Gravedad CVSS v4.0: BAJA
Última modificación:
20/02/2026

CVE-2026-2384
Fecha de publicación:
20/02/2026
Idioma:
Español
El plugin Quiz Maker para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode &amp;#39;vc_quizmaker&amp;#39; del plugin en todas las versiones hasta la 6.7.1.7, inclusive, debido a una sanitización de entrada y escape de salida insuficientes en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.<br /> Nota: Esta vulnerabilidad requiere que WPBakery Page Builder esté instalado y activo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

CVE-2026-26992
Fecha de publicación:
20/02/2026
Idioma:
Español
LibreNMS es una herramienta de monitorización de red basada en PHP/MySQL/SNMP con descubrimiento automático. En las versiones 26.1.1 e inferiores, el nombre del grupo de puertos no se sanea, lo que permite a atacantes con privilegios de administrador realizar ataques de Stored Cross-Site Scripting (XSS). Cuando un usuario añade un grupo de puertos, se envía una solicitud HTTP POST a la Request-URI &amp;#39;/port-groups&amp;#39;. El nombre del grupo de puertos recién creado se almacena en el valor del parámetro name. Después de que se cree el grupo de puertos, la entrada se muestra junto con botones relevantes como Editar y Eliminar. Este problema se ha solucionado en la versión 26.2.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-26991
Fecha de publicación:
20/02/2026
Idioma:
Español
LibreNMS es una herramienta de monitorización de red basada en PHP/MySQL/SNMP con descubrimiento automático. En las versiones 26.1.1 y anteriores, el nombre del grupo de dispositivos no está saneado, permitiendo a atacantes con privilegios de administrador realizar ataques de Cross-Site Scripting (XSS) almacenado. Cuando un usuario añade un grupo de dispositivos, se envía una solicitud HTTP POST a la Request-URI &amp;#39;/device-groups&amp;#39;. El nombre del grupo de dispositivos recién creado se almacena en el valor del parámetro name. Después de que se cree el grupo de dispositivos, la entrada se muestra junto con botones relevantes como Rediscover Devices, Edit y Delete. Este problema ha sido solucionado en la versión 26.2.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-2819
Fecha de publicación:
20/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Dromara RuoYi-Vue-Plus hasta 5.5.3. Esta vulnerabilidad afecta la función SaServletFilter del archivo /workflow/instance/deleteByInstanceIds del componente Módulo de Flujo de Trabajo. Si se manipula se logra una falta de autorización. El ataque puede ser iniciado en remoto. El exploit está disponible públicamente y podría ser utilizado. Se avisó pronto al proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026
Suscribirse a Vulnerabilidades