Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-31881
Fecha de publicación:
11/03/2026
Idioma:
Español
Runtipi es un orquestador de homeserver personal. Antes de la versión 4.8.0, un atacante no autenticado puede restablecer la contraseña del operador (administrador) cuando una solicitud de restablecimiento de contraseña está activa, lo que resulta en una toma de control completa de la cuenta. El endpoint POST /api/auth/reset-password está expuesto sin comprobaciones de autenticación/autorización. Durante la ventana de restablecimiento de 15 minutos, cualquier usuario remoto puede establecer una nueva contraseña de operador e iniciar sesión como administrador. Esta vulnerabilidad se corrige en la versión 4.8.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

CVE-2026-31887
Fecha de publicación:
11/03/2026
Idioma:
Español
Shopware es una plataforma de comercio abierta. Antes de las versiones 6.7.8.1 y 6.6.10.15, una verificación insuficiente de los tipos de filtro para clientes no autenticados permite el acceso a pedidos de otros clientes. Esto forma parte del soporte de deepLinkCode en el endpoint store-API.order. Esta vulnerabilidad se ha corregido en las versiones 6.7.8.1 y 6.6.10.15.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/03/2026

CVE-2026-31879
Fecha de publicación:
11/03/2026
Idioma:
Español
Frappe es un framework de aplicación web full-stack. Antes de 14.100.2, 15.101.0 y 16.10.0, debido a una falta de validación y comprobaciones de permisos inadecuadas, los usuarios podían modificar los espacios de trabajo privados de otros usuarios. Solicitudes especialmente diseñadas podrían conducir a XSS almacenado aquí. Esta vulnerabilidad está corregida en 14.100.2, 15.101.0 y 16.10.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/03/2026

CVE-2026-31878
Fecha de publicación:
11/03/2026
Idioma:
Español
Frappe es un framework de aplicación web full-stack. Antes de 14.100.1, 15.100.0 y 16.6.0, un usuario malicioso podría enviar una solicitud manipulada a un endpoint lo que llevaría al servidor a realizar una llamada HTTP a un servicio de la elección del usuario. Esta vulnerabilidad está corregida en 14.100.1, 15.100.0 y 16.6.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2026

CVE-2026-31877
Fecha de publicación:
11/03/2026
Idioma:
Español
Frappe es un framework de aplicación web full-stack. Antes de las versiones 15.84.0 y 14.99.0, una solicitud especialmente diseñada realizada a un determinado endpoint podría resultar en una inyección SQL, permitiendo a un atacante extraer información a la que de otro modo no tendría acceso. Esta vulnerabilidad está corregida en las versiones 15.84.0 y 14.99.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/03/2026

CVE-2019-25487
Fecha de publicación:
11/03/2026
Idioma:
Español
SAPIDO RB-1732 V2.0.43 contiene una vulnerabilidad de ejecución remota de comandos que permite a atacantes no autenticados ejecutar comandos de sistema arbitrarios mediante el envío de entrada maliciosa al endpoint formSysCmd. Los atacantes pueden enviar solicitudes POST con el parámetro sysCmd que contiene comandos shell para ejecutar código en el dispositivo con privilegios de router.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/03/2026

CVE-2026-24509
Fecha de publicación:
11/03/2026
Idioma:
Español
Dell Alienware Command Center (AWCC), versiones anteriores a la 6.12.24.0, contienen una vulnerabilidad de control de acceso inadecuado. Un atacante con privilegios bajos y acceso local podría explotar esta vulnerabilidad, lo que podría llevar a una denegación de servicio.
Gravedad CVSS v3.1: BAJA
Última modificación:
12/03/2026

CVE-2026-31874
Fecha de publicación:
11/03/2026
Idioma:
Español
Taskosaur es una plataforma de gestión de proyectos de código abierto con IA conversacional para la ejecución de tareas dentro de la aplicación. En la versión 1.0.0, la aplicación no valida ni restringe adecuadamente el parámetro role durante el proceso de registro de usuario. Un atacante puede modificar manualmente la carga útil de la solicitud y asignarse privilegios elevados. Dado que el backend no aplica restricciones de asignación de roles ni ignora los parámetros de rol proporcionados por el cliente, el servidor acepta el valor manipulado y crea la cuenta con privilegios SUPER_ADMIN. Esto permite a cualquier atacante no autenticado registrar una cuenta administrativa con todos los privilegios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/03/2026

CVE-2019-25480
Fecha de publicación:
11/03/2026
Idioma:
Español
ARMBot contiene una vulnerabilidad de carga de archivos sin restricciones en upload.php que permite a atacantes no autenticados cargar archivos arbitrarios manipulando el parámetro file con secuencias de salto de ruta. Los atacantes pueden cargar archivos PHP con payloads de salto de ruta ../public_html/ para escribir código ejecutable en la raíz web y lograr la ejecución remota de código.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/03/2026

CVE-2019-25483
Fecha de publicación:
11/03/2026
Idioma:
Español
Comtrend AR-5310 GE31-412SSG-C01_R10.A2pG039u.d24k contiene una vulnerabilidad de escape de shell restringido que permite a usuarios locales eludir las restricciones de comandos mediante el uso del operador de sustitución de comandos $( ). Los atacantes pueden inyectar comandos arbitrarios a través de la sintaxis $( ) cuando se pasan como argumentos a comandos permitidos como ping para ejecutar acceso de shell sin restricciones.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/03/2026

CVE-2019-25484
Fecha de publicación:
11/03/2026
Idioma:
Español
WinMPG iPod Convert 3.0 contiene una vulnerabilidad de desbordamiento de búfer en el cuadro de diálogo de Registro que permite a atacantes locales bloquear la aplicación al proporcionar una carga útil excesivamente grande. Los atacantes pueden pegar una cadena de caracteres larga en los campos de Nombre de Usuario y Código de Usuario para desencadenar una condición de denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

CVE-2019-25485
Fecha de publicación:
11/03/2026
Idioma:
Español
R 3.4.4 en Windows x64 contiene una vulnerabilidad de desbordamiento de búfer en el campo del menú de idioma de Preferencias de la GUI que permite a atacantes locales eludir las protecciones DEP y ASLR. Los atacantes pueden inyectar una carga útil manipulada a través de la preferencia Idioma para menús para activar un pivote de cadena de gestores de excepciones estructuradas y ejecutar shellcode arbitrario con privilegios de aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026
Suscribirse a Vulnerabilidades