Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SDK de TypeScript (CVE-2026-25536)
Fecha de publicación:
04/02/2026
Idioma:
Español
El SDK de TypeScript de MCP es el SDK oficial de TypeScript para servidores y clientes de Model Context Protocol. Desde la versión 1.10.0 hasta la 1.25.3, se produce una fuga de datos de respuesta entre clientes cuando una única instancia de McpServer/servidor y de transporte es reutilizada a través de múltiples conexiones de cliente, más comúnmente en despliegues de StreamableHTTPServerTransport sin estado. Este problema ha sido parcheado en la versión 1.26.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/02/2026

Vulnerabilidad en jsonwebtoken de Keats (CVE-2026-25537)
Fecha de publicación:
04/02/2026
Idioma:
Español
jsonwebtoken es una librería JWT en Rust. Antes de la versión 10.3.0, existe una vulnerabilidad de confusión de tipos en jsonwebtoken, específicamente, en su lógica de validación de declaraciones. Cuando una declaración estándar (como nbf o exp) se proporciona con un tipo JSON incorrecto (como una cadena de texto en lugar de un número), el mecanismo de análisis interno de la librería marca la declaración como 'FailedToParse'. Crucialmente, la lógica de validación trata este estado 'FailedToParse' idénticamente a 'NotPresent'. Esto significa que si una verificación está habilitada (como: validate_nbf = true), pero la declaración no está explícitamente marcada como requerida en required_spec_claims, la librería omitirá la verificación de validación por completo para la declaración malformada, tratándola como si no estuviera presente. Esto permite a los atacantes eludir restricciones de seguridad críticas basadas en el tiempo (como las verificaciones de 'Not Before') y realizar posibles elusiones de autenticación y autorización. Este problema ha sido parcheado en la versión 10.3.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en Devtron de Devtron-labs (CVE-2026-25538)
Fecha de publicación:
04/02/2026
Idioma:
Español
Devtron es una plataforma de integración de herramientas de código abierto para Kubernetes. En la versión 2.0.0 y anteriores, existe una vulnerabilidad en la interfaz de la API de Atributos de Devtron, que permite a cualquier usuario autenticado (incluidos los desarrolladores de CI/CD con bajos privilegios) obtener la clave de firma del Token de la API global accediendo al endpoint /orchestrator/attributes?key=apiTokenSecret. Después de obtener la clave, los atacantes pueden falsificar tokens JWT para identidades de usuario arbitrarias sin conexión, obteniendo así control total sobre la plataforma Devtron y moviéndose lateralmente al clúster de Kubernetes subyacente. Este problema ha sido parcheado mediante el commit d2b0d26.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/02/2026

Vulnerabilidad en Locutus de locutusjs (CVE-2026-25521)
Fecha de publicación:
04/02/2026
Idioma:
Español
Locutus incorpora librerías estándar de otros lenguajes de programación a JavaScript con fines educativos. En las versiones desde la 2.0.12 hasta antes de la 2.0.39, existe una vulnerabilidad de contaminación de prototipos en Locutus. A pesar de una corrección anterior que intentó mitigar la contaminación de prototipos verificando si la entrada del usuario contenía una clave prohibida, todavía es posible contaminar Object.prototype mediante una entrada manipulada utilizando String.prototype. Este problema ha sido corregido en la versión 2.0.39.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/02/2026

Vulnerabilidad en Magento-lts de OpenMage (CVE-2026-25523)
Fecha de publicación:
04/02/2026
Idioma:
Español
Magento-lts es una alternativa de soporte a largo plazo a Magento Community Edition (CE). Antes de la versión 20.16.1, la URL de administración puede ser descubierta sin conocimiento previo de su ubicación explotando el encabezado X-Original-Url en algunas configuraciones. Este problema ha sido parcheado en la versión 20.16.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en JinJava de HubSpot (CVE-2026-25526)
Fecha de publicación:
04/02/2026
Idioma:
Español
JinJava es un motor de plantillas basado en Java, basado en la sintaxis de plantillas de Django, adaptado para renderizar plantillas Jinja. Antes de las versiones 2.7.6 y 2.8.3, JinJava es vulnerable a la ejecución arbitraria de Java a través de un bypass mediante ForTag. Esto permite la instanciación arbitraria de clases Java y el acceso a archivos eludiendo las restricciones de sandbox integradas. Este problema ha sido parcheado en las versiones 2.7.6 y 2.8.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/02/2026

Vulnerabilidad en WeKan (CVE-2026-1892)
Fecha de publicación:
04/02/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en WeKan hasta la versión 8.20. Esto afecta la función setBoardOrgs del archivo models/boards.js del componente REST API. Dicha manipulación del argumento item.cardId/item.checklistId/card.boardId conduce a una autorización indebida. El ataque puede ser lanzado remotamente. Un alto nivel de complejidad está asociado con este ataque. La explotabilidad se reporta como difícil. La actualización a la versión 8.21 mitiga este problema. El nombre del parche es cabfeed9a68e21c469bf206d8655941444b9912c. Se sugiere actualizar el componente afectado.
Gravedad CVSS v4.0: BAJA
Última modificación:
10/02/2026

Vulnerabilidad en cert-manager (CVE-2026-25518)
Fecha de publicación:
04/02/2026
Idioma:
Español
cert-manager añade certificados y emisores de certificados como tipos de recursos en clústeres de Kubernetes, y simplifica el proceso de obtención, renovación y uso de esos certificados. En las versiones desde la 1.18.0 hasta antes de la 1.18.5 y desde la 1.19.0 hasta antes de la 1.19.3, el cert-manager-controller realiza búsquedas DNS durante el procesamiento ACME DNS-01 (para el descubrimiento de zonas y las autocomprobaciones de propagación). Por defecto, estas búsquedas utilizan DNS estándar sin cifrar. Un atacante que puede interceptar y modificar el tráfico DNS desde el pod del cert-manager-controller puede insertar una entrada manipulada en la caché DNS de cert-manager. Acceder a esta entrada provocará un pánico, lo que resultará en una denegación de servicio (DoS) del controlador de cert-manager. El problema también puede ser explotado si el servidor DNS autoritativo para el dominio que se está validando es controlado por un actor malicioso. Este problema ha sido parcheado en las versiones 1.18.5 y 1.19.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en ZenTao (CVE-2026-1884)
Fecha de publicación:
04/02/2026
Idioma:
Español
Se ha identificado una debilidad en ZenTao hasta la versión 21.7.6-85642. El elemento afectado es la función fetchHook del archivo module/webhook/model.PHP del componente Módulo Webhook. Esta manipulación causa falsificación de petición del lado del servidor. El ataque puede ser iniciado remotamente. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques. Se contactó al proveedor con antelación sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en Concert de IBM (CVE-2024-43181)
Fecha de publicación:
04/02/2026
Idioma:
Español
IBM Concert 1.0.0 hasta 2.1.0 no invalida la sesión después de cerrar sesión, lo que podría permitir a un usuario autenticado suplantar a otro usuario en el sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en IBM Operations Analytics (CVE-2024-40685)
Fecha de publicación:
04/02/2026
Idioma:
Español
IBM Operations Analytics – Log Analysis versiones 1.3.5.0 hasta 1.3.8.3 y IBM SmartCloud Analytics – Log Analysis son vulnerables a una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) que podría permitir a un atacante engañar a un usuario de confianza para que realice acciones no autorizadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en Concert de IBM (CVE-2024-51451)
Fecha de publicación:
04/02/2026
Idioma:
Español
IBM Concert 1.0.0 hasta 2.1.0 es vulnerable a la inyección de encabezados HTTP, causada por una validación incorrecta de la entrada por parte de los encabezados HOST. Esto podría permitir a un atacante realizar varios ataques contra el sistema vulnerable, incluyendo cross-site scripting, envenenamiento de caché o secuestro de sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026
Suscribirse a Vulnerabilidades