Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-33162
Fecha de publicación:
24/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Craft CMS is a content management system (CMS). From version 5.3.0 to before version 5.9.14, an authenticated control panel user with only accessCp can move entries across sections via POST /actions/entries/move-to-section, even when they do not have saveEntries:{sectionUid} permission for either source or destination section. This issue has been patched in version 5.9.14.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

CVE-2026-32853
Fecha de publicación:
24/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** LibVNCServer versions 0.9.15 and prior (fixed in commit 009008e) contain a heap out-of-bounds read vulnerability in the UltraZip encoding handler that allows a malicious VNC server to cause information disclosure or application crash. Attackers can exploit improper bounds checking in the HandleUltraZipBPP() function by manipulating subrectangle header counts to read beyond the allocated heap buffer.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

CVE-2026-32854
Fecha de publicación:
24/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** LibVNCServer versions 0.9.15 and prior (fixed in commit dc78dee) contain null pointer dereference vulnerabilities in the HTTP proxy handlers within httpProcessInput() in httpd.c that allow remote attackers to cause a denial of service by sending specially crafted HTTP requests. Attackers can exploit missing validation of strchr() return values in the CONNECT and GET proxy handling paths to trigger null pointer dereferences and crash the server when httpd and proxy features are enabled.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

CVE-2026-33157
Fecha de publicación:
24/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Craft CMS is a content management system (CMS). From version 5.6.0 to before version 5.9.13, a Remote Code Execution (RCE) vulnerability exists in Craft CMS, it can be exploited by any authenticated user with control panel access. This is a bypass of a previous fix. The existing patches add cleanseConfig() to assembleLayoutFromPost() and various FieldsController actions to strip Yii2 behavior/event injection keys ("as" and "on" prefixed keys). However, the fieldLayouts parameter in ElementIndexesController::actionFilterHud() is passed directly to FieldLayout::createFromConfig() without any sanitization, enabling the same behavior injection attack chain. This issue has been patched in version 5.9.13.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

CVE-2026-33158
Fecha de publicación:
24/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Craft CMS is a content management system (CMS). From version 4.0.0-RC1 to before version 4.17.8 and from version 5.0.0-RC1 to before version 5.9.14, a low-privileged authenticated user can read private asset content by calling assets/edit-image with an arbitrary assetId that they are not authorized to view. The endpoint returns image bytes (or a preview redirect) without enforcing a per-asset view authorization check, leading to potential unauthorized disclosure of private files. This issue has been patched in versions 4.17.8 and 5.9.14.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

CVE-2026-33159
Fecha de publicación:
24/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Craft CMS is a content management system (CMS). From version 4.0.0-RC1 to before version 4.17.8 and from version 5.0.0-RC1 to before version 5.9.14, guest users can access Config Sync updater index, obtain signed data, and execute state-changing Config Sync actions (regenerate-yaml, apply-yaml-changes) without authentication. This issue has been patched in versions 4.17.8 and 5.9.14.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

CVE-2026-26809
Fecha de publicación:
24/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CVE RECORD. ConsultIDs: none. Reason: This record was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
24/03/2026

CVE-2026-33340
Fecha de publicación:
24/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** LoLLMs WEBUI provides the Web user interface for Lord of Large Language and Multi modal Systems. A critical Server-Side Request Forgery (SSRF) vulnerability has been identified in all known existing versions of `lollms-webui`. The `@router.post("/api/proxy")` endpoint allows unauthenticated attackers to force the server into making arbitrary GET requests. This can be exploited to access internal services, scan local networks, or exfiltrate sensitive cloud metadata (e.g., AWS/GCP IAM tokens). As of time of publication, no known patched versions are available.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/03/2026

CVE-2025-11571
Fecha de publicación:
24/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Vulnerable endpoints accept user-controlled input through a URL in JSON format which enables command execution. The commands allowed to execute can open executables. However, the commands cannot pass parameters or arguments. <br /> To successfully execute this attack, the attacker needs to be on the same network.
Gravedad CVSS v4.0: BAJA
Última modificación:
24/03/2026

CVE-2026-33677
Fecha de publicación:
24/03/2026
Idioma:
Español
Vikunja es una plataforma de gestión de tareas de código abierto autoalojada. Antes de la versión 2.2.1, el endpoint &amp;#39;GET /API/v1/projects/:project/webhooks&amp;#39; devuelve las credenciales BasicAuth del webhook (&amp;#39;basic_auth_user&amp;#39; y &amp;#39;basic_auth_password&amp;#39;) en texto plano a cualquier usuario con acceso de lectura al proyecto. Si bien el código existente enmascara correctamente el campo &amp;#39;secret&amp;#39; de HMAC, los campos BasicAuth añadidos en una migración posterior no recibieron el mismo tratamiento. Esto permite a los colaboradores de solo lectura robar credenciales destinadas a la autenticación contra receptores de webhook externos. La versión 2.2.1 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

CVE-2026-33678
Fecha de publicación:
24/03/2026
Idioma:
Español
Vikunja es una plataforma de gestión de tareas de código abierto y autoalojada. Antes de la versión 2.2.1, &amp;#39;TaskAttachment.ReadOne()&amp;#39; consulta los adjuntos solo por ID (&amp;#39;WHERE id = ?&amp;#39;), ignorando el ID de la tarea de la ruta URL. La verificación de permisos en &amp;#39;CanRead()&amp;#39; valida el acceso a la tarea especificada en la URL, pero &amp;#39;ReadOne()&amp;#39; carga un adjunto diferente que puede pertenecer a una tarea en otro proyecto. Esto permite a cualquier usuario autenticado descargar o eliminar cualquier adjunto en el sistema proporcionando su propio ID de tarea accesible junto con un ID de adjunto objetivo. Los ID de los adjuntos son enteros secuenciales, lo que hace que la enumeración sea trivial. La versión 2.2.1 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026

CVE-2026-33679
Fecha de publicación:
24/03/2026
Idioma:
Español
Vikunja es una plataforma de gestión de tareas de código abierto autoalojada. Antes de la versión 2.2.1, la función `DownloadImage` en `pkg/utils/avatar.go` utiliza un `http.Client{}` básico sin protección SSRF al descargar imágenes de avatar de usuario de la URL de la declaración &amp;#39;picture&amp;#39; de OpenID Connect. Un atacante que controla la URL de la imagen de perfil de su OIDC puede forzar al servidor Vikunja a realizar solicitudes GET HTTP a puntos finales de metadatos internos o en la nube arbitrarios. Esto elude las protecciones SSRF que se aplican correctamente al sistema de webhooks. La versión 2.2.1 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026
Suscribirse a Vulnerabilidades