Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en iccDEV (CVE-2026-25584)
Fecha de publicación:
04/02/2026
Idioma:
Español
iccDEV proporciona un conjunto de librerías y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color ICC. Antes de la versión 2.3.1.3, existe una vulnerabilidad de desbordamiento de búfer de pila (stack-buffer-overflow) en CIccTagFloatNum<>::GetValues(). Esto se activa al procesar un perfil ICC malformado. La vulnerabilidad permite una escritura fuera de límites en la pila, lo que podría conducir a corrupción de memoria, revelación de información o ejecución de código al procesar archivos ICC especialmente diseñados. Este problema ha sido parcheado en la versión 2.3.1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en iccDEV (CVE-2026-25583)
Fecha de publicación:
04/02/2026
Idioma:
Español
iccDEV proporciona un conjunto de librerías y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color ICC. Antes de la versión 2.3.1.3, existe una vulnerabilidad de desbordamiento de búfer de montón en CIccFileIO::Read8() al procesar archivos de perfil ICC malformados mediante una operación fread sin verificar. Este problema ha sido parcheado en la versión 2.3.1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en iccDEV (CVE-2026-25582)
Fecha de publicación:
04/02/2026
Idioma:
Español
iccDEV proporciona un conjunto de librerías y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color ICC. Antes de la versión 2.3.1.3, existe una vulnerabilidad de desbordamiento de búfer de montón (lectura) en CIccIO::WriteUInt16Float() al convertir XML malformado a perfiles ICC a través de la herramienta iccFromXml. Este problema ha sido parcheado en la versión 2.3.1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en navidrome (CVE-2026-25579)
Fecha de publicación:
04/02/2026
Idioma:
Español
Navidrome es un servidor y streamer de colección de música basado en web de código abierto. Antes de la versión 0.60.0, los usuarios autenticados pueden bloquear el servidor de Navidrome al proporcionar un parámetro de tamaño excesivamente grande a /rest/getCoverArt o a una URL de imagen compartida (/share/img/). Al procesar dichas solicitudes, el servidor intenta crear una imagen redimensionada extremadamente grande, lo que provoca un crecimiento descontrolado de la memoria. Esto activa el OOM killer de Linux, termina el proceso de Navidrome y resulta en una interrupción completa del servicio. Si el sistema tiene suficiente memoria y sobrevive a la asignación, Navidrome escribe estas imágenes redimensionadas extremadamente grandes en su directorio de caché, permitiendo que un atacante agote rápidamente el espacio en disco del servidor también. Este problema ha sido parcheado en la versión 0.60.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
18/02/2026

Vulnerabilidad en Navidrome (CVE-2026-25578)
Fecha de publicación:
04/02/2026
Idioma:
Español
Navidrome es un servidor y streamer de colección de música basado en web de código abierto. Antes de la versión 0.60.0, una vulnerabilidad de cross-site scripting en el frontend permite a un atacante malicioso inyectar código a través de los metadatos de comentarios de una canción para exfiltrar credenciales de usuario. Este problema ha sido parcheado en la versión 0.60.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2026

Vulnerabilidad en Bytes (CVE-2026-25541)
Fecha de publicación:
04/02/2026
Idioma:
Español
Bytes es una librería de utilidad para trabajar con bytes. Desde la versión 1.2.1 hasta antes de la 1.11.1, Bytes es vulnerable a desbordamiento de entero en BytesMut::reserve. En la ruta de recuperación única de BytesMut::reserve, si la condición 'v_capacity >= new_cap + offset' utiliza una adición sin verificar. Cuando new_cap + offset desborda usize en compilaciones de lanzamiento, esta condición puede pasar incorrectamente, haciendo que self.cap se establezca en un valor que excede la capacidad asignada real. Las API posteriores, como spare_capacity_mut(), confían entonces en este valor de cap corrupto y pueden crear segmentos fuera de límites, lo que lleva a UB. Este comportamiento es observable en compilaciones de lanzamiento (el desbordamiento de entero se ajusta), mientras que las compilaciones de depuración entran en pánico debido a las comprobaciones de desbordamiento. Este problema ha sido parcheado en la versión 1.11.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en SiYuan de Siyuan-note (CVE-2026-25539)
Fecha de publicación:
04/02/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Antes de la versión 3.5.5, el endpoint /api/file/copyFile no valida el parámetro dest, permitiendo a usuarios autenticados escribir archivos en ubicaciones arbitrarias en el sistema de archivos. Esto puede llevar a la Ejecución Remota de Código (RCE) al escribir en ubicaciones sensibles como trabajos cron, SSH authorized_keys o archivos de configuración de shell. Este problema ha sido parcheado en la versión 3.5.5.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2026

Vulnerabilidad en HtmlSanitizer de mganss (CVE-2026-25543)
Fecha de publicación:
04/02/2026
Idioma:
Español
HtmlSanitizer es una librería.NET para limpiar fragmentos y documentos HTML de construcciones que pueden llevar a ataques XSS. Antes de las versiones 9.0.892 y 9.1.893-beta, si la etiqueta template está permitida, su contenido no se sanitiza. La etiqueta template es una etiqueta especial que normalmente no renderiza su contenido, a menos que el atributo shadowrootmode esté configurado como open o closed. Este problema ha sido parcheado en las versiones 9.0.892 y 9.1.893-beta.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en Godot MCP (CVE-2026-25546)
Fecha de publicación:
04/02/2026
Idioma:
Español
Godot MCP es un servidor de Model Context Protocol (MCP) para interactuar con el motor de juego Godot. Antes de la versión 0.1.1, una vulnerabilidad de inyección de comandos en godot-mcp permite la ejecución remota de código. La función executeOperation pasaba la entrada controlada por el usuario (p. ej., projectPath) directamente a exec(), lo que genera un shell. Un atacante podría inyectar metacaracteres de shell como $(command) o &calc para ejecutar comandos arbitrarios con los privilegios del proceso del servidor MCP. Esto afecta a cualquier herramienta que acepte projectPath, incluyendo create_scene, add_node, load_sprite y otras. Este problema ha sido parcheado en la versión 0.1.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/02/2026

Vulnerabilidad en TypeScript (CVE-2026-25547)
Fecha de publicación:
04/02/2026
Idioma:
Español
@isaacs/brace-expansion es una bifurcación de TypeScript híbrida CJS/ESM de brace-expansion. Antes de la versión 5.0.1, @isaacs/brace-expansion es vulnerable a un problema de denegación de servicio (DoS) causado por la expansión ilimitada de rangos de llaves. Cuando un atacante proporciona un patrón que contiene rangos de llaves numéricos repetidos, la librería intenta generar ávidamente cada combinación posible de forma síncrona. Debido a que la expansión crece exponencialmente, incluso una entrada pequeña puede consumir CPU y memoria excesivas y puede bloquear el proceso de Node.js. Este problema ha sido parcheado en la versión 5.0.1.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
05/02/2026

Vulnerabilidad en NavigaTUM de TUM-Dev (CVE-2026-25575)
Fecha de publicación:
04/02/2026
Idioma:
Español
NavigaTUM es un sitio web y una API para buscar salas, edificios y otros lugares. Antes del commit 86f34c7, existe una vulnerabilidad de salto de ruta en el endpoint propose_edits que permite a usuarios no autenticados sobrescribir archivos en directorios con permisos de escritura para el usuario de la aplicación (por ejemplo, /cdn). Al proporcionar claves de archivo no saneadas que contienen secuencias de salto (por ejemplo, ../../) en la carga útil JSON, un atacante puede escapar del directorio temporal previsto y reemplazar imágenes de cara al público o llenar el almacenamiento del servidor. Este problema ha sido parcheado mediante el commit 86f34c7.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/02/2026

Vulnerabilidad en Mastodon (CVE-2026-25540)
Fecha de publicación:
04/02/2026
Idioma:
Español
Mastodon es un servidor de red social gratuito, de código abierto, basado en ActivityPub. Antes de las versiones 4.3.19, 4.4.13, 4.5.6, Mastodon es vulnerable al envenenamiento de caché web a través de 'Rails.cache'. Cuando AUTHORIZED_FETCH está habilitado, los puntos finales de ActivityPub para publicaciones fijadas y hashtags destacados tienen contenidos que dependen de la cuenta que firmó la solicitud HTTP. Sin embargo, estos contenidos se almacenan en una caché interna y se reutilizan sin tener en cuenta al actor firmante. Como resultado, una respuesta vacía generada para una cuenta de usuario bloqueada puede ser servida a solicitudes de actores legítimos no bloqueados, o, a la inversa, contenido destinado a actores no bloqueados puede ser devuelto a actores bloqueados. Este problema ha sido parcheado en las versiones 4.3.19, 4.4.13, 4.5.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026
Suscribirse a Vulnerabilidades