Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-34546)
Fecha de publicación:
31/03/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas para trabajar con perfiles de gestión de color ICC. Antes de la versión 2.3.1.6, una entrada TIFF especialmente diseñada puede desencadenar un Comportamiento Indefinido (UB) debido a una división por cero en las rutas de código de manejo de TIFF utilizadas por iccTiffDump. Este problema ha sido parcheado en la versión 2.3.1.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-34547)
Fecha de publicación:
31/03/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas para trabajar con perfiles de gestión de color ICC. Antes de la versión 2.3.1.6, una condición de Comportamiento Indefinido (UB) en IccUtil.cpp puede ser provocada por un perfil ICC especialmente diseñado al ejecutar iccDumpProfile. Este problema ha sido parcheado en la versión 2.3.1.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-34548)
Fecha de publicación:
31/03/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas para trabajar con perfiles de gestión de color ICC. Antes de la versión 2.3.1.6, existe una condición de Comportamiento Indefinido (UB) en la ruta de la herramienta de conversión XML (iccToXml) causada por una conversión implícita de un entero con signo negativo a icUInt32Number (entero sin signo de 32 bits), lo que cambia el valor. Este problema ha sido parcheado en la versión 2.3.1.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-34549)
Fecha de publicación:
31/03/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas para trabajar con perfiles de gestión de color ICC. Antes de la versión 2.3.1.6, existe una condición de Comportamiento Indefinido (UB) en IccUtil.cpp provocada por un perfil de entrada manipulado. Bajo UndefinedBehaviorSanitizer, el problema se informa como operaciones de desplazamiento a la izquierda inválidas en icUInt32Number (entero sin signo de 32 bits) donde el valor desplazado 'no puede ser representado' en ese tipo. Este problema ha sido parcheado en la versión 2.3.1.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-34550)
Fecha de publicación:
31/03/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas para trabajar con perfiles de gestión de color ICC. Antes de la versión 2.3.1.6, existe una condición de Comportamiento Indefinido (UB) en IccProfLib/IccIO.cpp causada por una conversión implícita de un entero con signo negativo a size_t (sin signo), lo que cambia el valor. Este problema ha sido parcheado en la versión 2.3.1.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en plugin WP Shortcodes para WordPress (CVE-2026-2480)
Fecha de publicación:
31/03/2026
Idioma:
Español
El plugin WP Shortcodes Plugin — Shortcodes Ultimate para WordPress es vulnerable a cross-site scripting almacenado a través del atributo 'max_width' del shortcode 'su_box' en todas las versiones hasta la 7.4.10, inclusive, debido a una sanitización de entrada y escape de salida insuficientes en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de colaborador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en siyuan de siyuan-note (CVE-2026-34585)
Fecha de publicación:
31/03/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Antes de la versión 3.6.2, una vulnerabilidad permite que valores de atributos de bloque manipulados eludan el escape de atributos del lado del servidor cuando una entidad HTML se mezcla con caracteres especiales sin procesar. Un atacante puede incrustar un valor IAL malicioso dentro de un documento .sy, empaquetarlo como un .sy.zip, y hacer que la víctima lo importe a través del flujo de trabajo normal de Importar -> SiYuan .sy.zip. Una vez que se abre la nota, el atributo malicioso sale de su contexto HTML original e inyecta un gestor de eventos, resultando en XSS almacenado. En el cliente de escritorio Electron, este XSS alcanza la ejecución remota de código porque el JavaScript inyectado se ejecuta con acceso a las API de Node/Electron. Este problema ha sido parcheado en la versión 3.6.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en siyuan de siyuan-note (CVE-2026-34605)
Fecha de publicación:
31/03/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Desde la versión 3.6.0 hasta antes de la versión 3.6.2, la función SanitizeSVG introducida en la versión 3.6.0 para corregir XSS en el endpoint no autenticado /API/icon/getDynamicIcon puede ser eludida mediante el uso de nombres de elementos con prefijo de espacio de nombres como . El analizador HTML5 de Go registra la etiqueta del elemento como 'x:script' en lugar de 'script', por lo que la verificación de la etiqueta lo permite pasar. El SVG se sirve con Content-Type: image/svg+xml y sin Política de Seguridad de Contenido; cuando un navegador abre la respuesta directamente, su analizador XML resuelve el prefijo al espacio de nombres SVG y ejecuta el script incrustado. Este problema ha sido parcheado en la versión 3.6.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en D-Link (CVE-2026-5214)
Fecha de publicación:
31/03/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 y DNS-1550-04 hasta 20260205. La función afectada es cgi_addgroup_get_group_quota_minsize del archivo /cgi-bin/account_mgr.cgi. La manipulación del argumento Name resulta en un desbordamiento de búfer basado en pila. El ataque puede realizarse de forma remota. El exploit se ha hecho público y podría utilizarse.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en D-Link (CVE-2026-5215)
Fecha de publicación:
31/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 y DNS-1550-04 hasta 20260205. El elemento afectado es la función cgi_get_ipv6 del archivo /cgi-bin/network_mgr.cgi. Dicha manipulación conduce a controles de acceso inadecuados. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-34536)
Fecha de publicación:
31/03/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas para trabajar con perfiles de gestión de color ICC. Antes de la versión 2.3.1.6, un perfil ICC manipulado puede desencadenar un desbordamiento de pila (SO) en SIccCalcOp::ArgsUsed(). El problema es observable bajo AddressSanitizer como un desbordamiento de pila cuando iccApplyProfiles procesa un perfil malicioso, con el fallo ocurriendo mientras se calcula el uso de argumentos durante las comprobaciones de subdesbordamiento/desbordamiento de la calculadora. Este problema ha sido parcheado en la versión 2.3.1.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-34537)
Fecha de publicación:
31/03/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas para trabajar con perfiles de gestión de color ICC. Antes de la versión 2.3.1.6, un perfil ICC manipulado puede desencadenar Comportamiento Indefinido (CI) en CIccOpDefEnvVar::Exec() debido a que se cargan valores enum no válidos para icSigCmmEnvVar. El problema es observable bajo UBSan como una 'carga de valor... no es un valor válido para el tipo icSigCmmEnvVar', lo que indica que se consume un valor enum/tipo no válido durante el procesamiento del perfil ICC. Este problema ha sido parcheado en la versión 2.3.1.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026
Suscribirse a Vulnerabilidades