Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SandboxJS (CVE-2026-25142)
Fecha de publicación:
02/02/2026
Idioma:
Español
SandboxJS es una biblioteca de sandboxing de JavaScript. Antes de la versión 0.8.27, SandboxJS no restringe adecuadamente __lookupGetter__, que puede usarse para obtener prototipos, lo que puede usarse para escapar del sandbox / ejecución remota de código. Esta vulnerabilidad está corregida en la versión 0.8.27.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2026

Vulnerabilidad en PolarLearn (CVE-2026-25221)
Fecha de publicación:
02/02/2026
Idioma:
Español
PolarLearn es un programa de aprendizaje gratuito y de código abierto. En 0-PRERELEASE-15 y versiones anteriores, la implementación de OAuth 2.0 para los proveedores de inicio de sesión de GitHub y Google es vulnerable a la falsificación de petición en sitios cruzados (CSRF) de inicio de sesión. La aplicación no implementa ni verifica el parámetro state durante el flujo de autenticación. Esto permite a un atacante preautenticar una sesión y engañar a una víctima para que inicie sesión en la cuenta del atacante. Cualquier dato que la víctima introduzca o progreso académico que realice se almacena en la cuenta del atacante, lo que provoca la pérdida de datos para la víctima y la revelación de información al atacante.
Gravedad CVSS v4.0: BAJA
Última modificación:
20/02/2026

Vulnerabilidad en PolarLearn (CVE-2026-25222)
Fecha de publicación:
02/02/2026
Idioma:
Español
PolarLearn es un programa de aprendizaje gratuito y de código abierto. En 0-PRERELEASE-15 y versiones anteriores, una vulnerabilidad de ataque de temporización en el proceso de inicio de sesión permite a atacantes no autenticados determinar si una dirección de correo electrónico específica está registrada en la plataforma. Al medir el tiempo de respuesta del endpoint de inicio de sesión, un atacante puede distinguir entre direcciones de correo electrónico válidas e inválidas. Esto ocurre porque el servidor solo realiza el hash de contraseña Argon2, que es computacionalmente costoso, si el usuario existe en la base de datos. Las solicitudes para usuarios existentes tardan significativamente más tiempo (~650ms) que las solicitudes para usuarios no existentes (~160ms).
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en continuwuity (CVE-2026-24471)
Fecha de publicación:
02/02/2026
Idioma:
Español
continuwuity es un homeserver de Matrix escrito en Rust. Esta vulnerabilidad permite a un atacante con un servidor remoto malicioso hacer que el servidor local firme un evento arbitrario tras la interacción del usuario. Cuando una cuenta de usuario abandona una sala (rechazando una invitación), se une a una sala o llama a la puerta de una sala, el servidor víctima puede pedir asistencia a un servidor remoto. Si la víctima pide asistencia al servidor atacante, el atacante puede proporcionar un evento arbitrario, que la víctima firmará y devolverá al atacante. Para el endpoint /leave, esto funciona para cualquier evento con una versión de sala compatible, donde el origen y origin_server_ts son establecidos por la víctima. Para el endpoint /join, se necesita un campo de contenido adicionalmente establecido por la víctima en el formato de una membresía de unión. Para el endpoint /knock, se necesita un campo de contenido adicional establecido por la víctima en el formato de una membresía de knock y una versión de sala que no esté entre 1 y 6. Esto fue explotado como parte de una cadena más grande contra el homeserver continuwuity.org. Esta vulnerabilidad afecta a todos los servidores derivados de Conduit. Esta vulnerabilidad está corregida en Continuwuity 0.5.1, Conduit 0.10.11, Grapevine 0aae932b y Tuwunel 1.4.9.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/02/2026

Vulnerabilidad en OpenClaw (CVE-2026-24763)
Fecha de publicación:
02/02/2026
Idioma:
Español
OpenClaw (anteriormente Clawdbot) es un asistente de IA personal que ejecutas en tus propios dispositivos. Antes de 2026.1.29, existía una vulnerabilidad de inyección de comandos en el mecanismo de ejecución de sandbox de Docker de OpenClaw debido a un manejo inseguro de la variable de entorno PATH al construir comandos de shell. Un usuario autenticado capaz de controlar variables de entorno podría influir en la ejecución de comandos dentro del contexto del contenedor. Esta vulnerabilidad está corregida en 2026.1.29.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en OpenListTeam (CVE-2026-25059)
Fecha de publicación:
02/02/2026
Idioma:
Español
OpenList Frontend es un componente de UI para OpenList. Antes de la 4.1.10, la aplicación contiene una vulnerabilidad de salto de ruta en múltiples manejadores de operaciones de archivo en server/handles/fsmanage.go. Los componentes de nombre de archivo en req.Names se concatenan directamente con directorios validados usando stdpath.Join. Esto permite que las secuencias '..' evadan las restricciones de ruta, permitiendo a los usuarios acceder a los archivos de otros usuarios dentro del mismo montaje de almacenamiento y realizar acciones no autorizadas como la eliminación, el cambio de nombre o la copia de archivos. Un atacante autenticado puede evadir la autorización a nivel de directorio inyectando secuencias de salto de ruta en los componentes de nombre de archivo, permitiendo la eliminación y copia de archivos no autorizadas entre límites de usuario dentro del mismo montaje de almacenamiento. Esta vulnerabilidad está corregida en la 4.1.10.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026

Vulnerabilidad en OpenListTeam (CVE-2026-25060)
Fecha de publicación:
02/02/2026
Idioma:
Español
OpenList Frontend es un componente de interfaz de usuario para OpenList. Antes de la versión 4.1.10, la verificación de certificados está deshabilitada por defecto para todas las comunicaciones del controlador de almacenamiento. La configuración TlsInsecureSkipVerify está establecida en true por defecto en la función DefaultConfig() en internal/conf/config.go. Esta vulnerabilidad permite ataques de man-in-the-middle (MitM) al deshabilitar la verificación de certificados TLS, lo que permite a los atacantes interceptar y manipular todas las comunicaciones de almacenamiento. Los atacantes pueden explotar esto a través de ataques a nivel de red como suplantación de ARP, puntos de acceso Wi-Fi no autorizados o equipos de red internos comprometidos para redirigir el tráfico a puntos finales maliciosos. Dado que la validación de certificados se omite, el sistema establecerá conexiones cifradas sin saberlo con servidores controlados por el atacante, lo que permite el descifrado completo, el robo de datos y la manipulación de todas las operaciones de almacenamiento sin activar ninguna advertencia de seguridad. Esta vulnerabilidad se corrige en la versión 4.1.10.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026

Vulnerabilidad en jsPDF (CVE-2026-24133)
Fecha de publicación:
02/02/2026
Idioma:
Español
jsPDF es una biblioteca para generar PDFs en JavaScript. Anterior a la 4.1.0, el control del usuario sobre el primer argumento del método addImage resulta en denegación de servicio. Si se le da la posibilidad de pasar datos de imagen o URLs no saneados al método addImage, un usuario puede proporcionar un archivo BMP malicioso que resulta en errores de falta de memoria y denegación de servicio. Los archivos BMP maliciosos tienen entradas grandes de ancho y/o alto en sus cabeceras, lo que lleva a una asignación de memoria excesiva. El método html también se ve afectado. La vulnerabilidad ha sido corregida en jsPDF@4.1.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en jsPDF (CVE-2026-24737)
Fecha de publicación:
02/02/2026
Idioma:
Español
jsPDF es una biblioteca para generar PDFs en JavaScript. Antes de 4.1.0, el control del usuario sobre las propiedades y métodos del módulo Acroform permite a los usuarios inyectar objetos PDF arbitrarios, como acciones JavaScript. Si se da la posibilidad de pasar entrada no saneada a uno de los siguientes métodos o propiedades, un usuario puede inyectar objetos PDF arbitrarios, como acciones JavaScript, que se ejecutan cuando la víctima abre el documento. Los miembros de la API vulnerables son AcroformChoiceField.addOption, AcroformChoiceField.setOptions, AcroFormCheckBox.appearanceState y AcroFormRadioButton.appearanceState. La vulnerabilidad ha sido corregida en jsPDF@4.1.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en FacturaScripts de NeoRazorX (CVE-2026-23476)
Fecha de publicación:
02/02/2026
Idioma:
Español
FacturaScripts es un software de planificación de recursos empresariales y contabilidad de código abierto. Antes de la versión 2025.8, existía un fallo de XSS reflejado en FacturaScripts. El problema radica en cómo se muestran los mensajes de error. Se utiliza el filtro |raw de Twig, lo que omite el escape de HTML. Al activar un error de base de datos (como pasar una cadena donde se espera un número entero), el mensaje de error incluye la entrada y se renderiza sin sanitización. Esta vulnerabilidad se ha corregido en la versión 2025.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026

Vulnerabilidad en SignalK (CVE-2026-23515)
Fecha de publicación:
02/02/2026
Idioma:
Español
Signal K Server es una aplicación de servidor que se ejecuta en un concentrador central en una embarcación. Previo a 1.5.0, una vulnerabilidad de inyección de comandos permite a usuarios autenticados con permisos de escritura ejecutar comandos de shell arbitrarios en el servidor Signal K cuando el plugin set-system-time está habilitado. Usuarios no autenticados también pueden explotar esta vulnerabilidad si la seguridad está deshabilitada en el servidor Signal K. Esto ocurre debido a una construcción insegura de comandos de shell al procesar valores de navigation.datetime recibidos a través de mensajes delta de WebSocket. Esta vulnerabilidad está corregida en 1.5.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/02/2026

Vulnerabilidad en NeoRazorX (CVE-2026-23997)
Fecha de publicación:
02/02/2026
Idioma:
Español
FacturaScripts es un software de planificación de recursos empresariales y contabilidad de código abierto. En la versión 2025.71 y anteriores, se descubrió una vulnerabilidad de cross-site scripting (XSS) almacenado en el campo Observaciones. La falla ocurre en la vista Historial, donde los datos históricos se renderizan sin la codificación adecuada de entidades HTML. Esto permite a un atacante ejecutar JavaScript arbitrario en el navegador de los administradores que visualizan el historial.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026
Suscribirse a Vulnerabilidades