Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-33368
Fecha de publicación:
20/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Zimbra Collaboration Suite (ZCS) 10.0 and 10.1 contains a reflected cross-site scripting (XSS) vulnerability in the Classic Webmail REST interface (/h/rest). The application fails to properly sanitize user-supplied input, allowing an unauthenticated attacker to inject malicious JavaScript into a crafted URL. When a victim user accesses the link, the injected script executes in the context of the Zimbra webmail application, which could allow the attacker to perform actions on behalf of the victim.
Gravedad: Pendiente de análisis
Última modificación:
20/03/2026

CVE-2026-31381
Fecha de publicación:
20/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** An attacker can extract user email addresses (PII) exposed in base64 encoding via the state parameter in the OAuth callback URL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

CVE-2026-31382
Fecha de publicación:
20/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** The error_description parameter is vulnerable to Reflected XSS. An attacker can bypass the domain's WAF using a Safari-specific onpagereveal payload.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

CVE-2024-44722
Fecha de publicación:
20/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** SysAK v2.0 and before is vulnerable to command execution via aaa;cat /etc/passwd.
Gravedad: Pendiente de análisis
Última modificación:
20/03/2026

CVE-2026-4434
Fecha de publicación:
20/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper certificate validation in the PAM propagation WinRM connections<br /> allows a network attacker to perform a man-in-the-middle attack via <br /> disabled TLS certificate verification.
Gravedad: Pendiente de análisis
Última modificación:
20/03/2026

Vulnerabilidad en WeGIA (CVE-2026-33136)
Fecha de publicación:
20/03/2026
Idioma:
Español
WeGIA es un gestor web para instituciones benéficas. Versiones 3.6.6 e inferiores tienen una vulnerabilidad de cross-site scripting (XSS) reflejado en el endpoint listar_memorandos_ativos.php. Un atacante puede inyectar JavaScript o etiquetas HTML arbitrarias en el parámetro GET sccd, que luego se refleja directamente en la respuesta HTML sin ninguna sanitización o codificación. El script /html/memorando/listar_memorandos_ativos.php maneja mensajes de éxito dinámicos para los usuarios utilizando parámetros de cadena de consulta. Similar a otros endpoints en el módulo Memorando, verifica si $_GET[&amp;#39;msg&amp;#39;] es igual a &amp;#39;success&amp;#39;. Si se cumple esta condición, concatena y refleja directamente $_GET[&amp;#39;sccd&amp;#39;] en un de alerta HTML. Este problema se resuelve en la versión 3.6.7.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2026

Vulnerabilidad en WeGIA (CVE-2026-33135)
Fecha de publicación:
20/03/2026
Idioma:
Español
WeGIA es un gestor web para instituciones benéficas. Las versiones 3.6.6 e inferiores tienen una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado en el endpoint novo_memorandoo.php. Un atacante puede inyectar JavaScript arbitrario en el parámetro GET sccs, el cual es directamente reflejado en la respuesta HTML sin ninguna sanitización o codificación. El script /html/memorando/novo_memorandoo.php lee parámetros GET HTTP para mostrar mensajes de éxito dinámicos al usuario. Aproximadamente en la línea 273, el código verifica si $_GET[&amp;#39;msg&amp;#39;] es igual a &amp;#39;success&amp;#39;. Si es verdadero, concatena directamente $_GET[&amp;#39;sccs&amp;#39;] en un de alerta HTML y lo envía al navegador. Este problema ha sido solucionado en la versión 3.6.7.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2026

Vulnerabilidad en WeGIA (CVE-2026-33134)
Fecha de publicación:
20/03/2026
Idioma:
Español
WeGIA es un gestor web para instituciones benéficas. Las versiones 3.6.5 e inferiores contienen una vulnerabilidad de inyección SQL autenticada en el endpoint html/matPat/restaurar_produto.php. La vulnerabilidad permite a un atacante autenticado inyectar comandos SQL arbitrarios a través del parámetro GET id_produto, lo que lleva a un compromiso total de la base de datos. En el script /html/matPat/restaurar_produto.php, la aplicación recupera el parámetro id_produto directamente del array global $_GET y lo intercala directamente en dos cadenas de consulta SQL sin ninguna sanitización, conversión de tipo (p. ej., (int)), o el uso de sentencias parametrizadas (prepare/execute). Este problema ha sido solucionado en la versión 3.6.6.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2026

CVE-2026-33133
Fecha de publicación:
20/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** WeGIA is a web manager for charitable institutions. In versions 3.6.5 and 3.6.6, the loadBackupDB() function imports SQL files from uploaded backup archives without any content validation. An attacker can craft a backup archive containing arbitrary SQL statements that create rogue administrator accounts, modify existing passwords, or execute any database operation. This was introduced in commit 370104c. This issue was patched in version 3.6.7.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Traefik (CVE-2026-32305)
Fecha de publicación:
20/03/2026
Idioma:
Español
Traefik es un proxy inverso HTTP y balanceador de carga. Las versiones 2.11.40 e inferiores, 3.0.0-beta1 hasta 3.6.11, y 3.7.0-ea.1 son vulnerables a un bypass de mTLS a través de la lógica de pre-sniffing de SNI de TLS relacionada con paquetes ClientHello fragmentados. Cuando un ClientHello de TLS se fragmenta en múltiples registros, la extracción de SNI de Traefik puede fallar con un EOF y devolver un SNI vacío. El router TCP entonces recurre a la configuración TLS predeterminada, que no requiere certificados de cliente por defecto. Esto permite a un atacante saltarse la aplicación de mTLS a nivel de ruta y acceder a servicios que deberían requerir autenticación TLS mutua. Este problema está parcheado en las versiones 2.11.41, 3.6.11 y 3.7.0-ea.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Traefik (CVE-2026-32595)
Fecha de publicación:
20/03/2026
Idioma:
Español
Traefik es un proxy inverso HTTP y un balanceador de carga. Las versiones 2.11.40 e inferiores, 3.0.0-beta1 hasta 3.6.11, y 3.7.0-ea.1 contienen un middleware BasicAuth que permite la enumeración de nombres de usuario mediante un ataque de temporización. Cuando un nombre de usuario enviado existe, el middleware realiza una comparación de contraseñas bcrypt que tarda aproximadamente 166 ms. Cuando el nombre de usuario no existe, la respuesta se devuelve inmediatamente en aproximadamente 0.6 ms. Esta diferencia de temporización de aproximadamente 298x es observable a través de la red y permite a un atacante no autenticado distinguir de forma fiable los nombres de usuario válidos de los no válidos. Este problema está parcheado en las versiones 2.11.41, 3.6.11 y 3.7.0-ea.2.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en zitadel (CVE-2026-33132)
Fecha de publicación:
20/03/2026
Idioma:
Español
ZITADEL es una plataforma de gestión de identidades de código abierto. Las versiones anteriores a la 3.4.9 y de la 4.0.0 a la 4.12.2 permitían a los usuarios eludir la aplicación de la organización durante la autenticación. Zitadel permite a las aplicaciones aplicar un contexto de organización durante la autenticación utilizando ámbitos (urn:zitadel:iam:org:id:{id} y urn:zitadel:iam:org:domain:primary:{domainname}). Si se aplica, un usuario necesita ser parte de la organización requerida para iniciar sesión. Aunque esto se aplicaba correctamente para las solicitudes de autorización de OAuth2/OIDC en el inicio de sesión V1, faltaban controles correspondientes para las solicitudes de autorización de dispositivos y todos los puntos finales de inicio de sesión V2 y OIDC API V2. Esto permitía a los usuarios eludir la restricción e iniciar sesión con usuarios de otras organizaciones. Tenga en cuenta que esta aplicación permite una verificación adicional durante la autenticación y las aplicaciones que dependen de autorizaciones / asignaciones de roles no se ven afectadas por esta elusión. Este problema ha sido parcheado en las versiones 3.4.9 y 4.12.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026
Suscribirse a Vulnerabilidades