Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-27967
Fecha de publicación:
26/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Zed, a code editor, has a symlink escape vulnerability in versions prior to 0.225.9 in Agent file tools (`read_file`, `edit_file`). It allows reading and writing files **outside the project directory** when a project contains symbolic links pointing to external paths. This bypasses the intended workspace boundary and privacy protections (`file_scan_exclusions`, `private_files`), potentially leaking sensitive user data to the LLM. Version 0.225.9 fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-27976
Fecha de publicación:
26/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Zed, a code editor, has an extension installer allows tar/gzip downloads. Prior to version 0.224.4, the tar extractor (`async_tar::Archive::unpack`) creates symlinks from the archive without validation, and the path guard (`writeable_path_from_extension`) only performs lexical prefix checks without resolving symlinks. An attacker can ship a tar that first creates a symlink inside the extension workdir pointing outside (e.g., `escape -> /`), then writes files through the symlink, causing writes to arbitrary host paths. This escapes the extension sandbox and enables code execution. Version 0.224.4 patches the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en psd-tools (CVE-2026-27809)
Fecha de publicación:
26/02/2026
Idioma:
Español
psd-tools es un paquete de Python para trabajar con archivos PSD de Adobe Photoshop. Antes de la versión 1.12.2, cuando un archivo PSD contiene datos de imagen comprimidos RLE malformados (por ejemplo, una secuencia literal que se extiende más allá del tamaño de fila esperado), decode_rle() lanza un ValueError que se propagaba hasta el usuario, provocando el fallo de psd.composite() y psd-tools export. decompress() ya tenía una alternativa que reemplaza los canales fallidos con píxeles negros cuando el resultado es None, pero nunca se activaba porque el ValueError de decode_rle() no era capturado. La corrección en la versión 1.12.2 envuelve la llamada a decode_rle() en un bloque try/except para que la alternativa existente maneje el error de forma elegante.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Sub2API (CVE-2026-27812)
Fecha de publicación:
26/02/2026
Idioma:
Español
Sub2API es una plataforma de pasarela de API de IA diseñada para distribuir y gestionar cuotas de API de suscripciones de productos de IA. Una vulnerabilidad en versiones anteriores a la 0.1.85 es un Envenenamiento de Restablecimiento de Contraseña (problema de confianza en el encabezado Host / Forwarded), que permite a los atacantes manipular el enlace de restablecimiento de contraseña. Los atacantes pueden exploit esta falla para inyectar su propio dominio en el enlace de restablecimiento de contraseña, lo que lleva al potencial de toma de control de la cuenta. La vulnerabilidad ha sido corregida en la versión v0.1.85. Si la actualización no es posible de inmediato, los usuarios pueden mitigar la vulnerabilidad deshabilitando la función 'olvidé mi contraseña' hasta que se pueda realizar una actualización a una versión parcheada. Esto evitará que los atacantes exploten la vulnerabilidad a través del endpoint afectado.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2026-27818
Fecha de publicación:
26/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** TerriaJS-Server is a NodeJS Express server for TerriaJS, a library for building web-based geospatial data explorers. A validation bug in versions prior to 4.0.3 allows an attacker to proxy domains not explicitly allowed in the `proxyableDomains` configuration. Version 4.0.3 fixes the issue.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2026-27821
Fecha de publicación:
26/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** GPAC is an open-source multimedia framework. In versions up to and including 26.02.0, a stack buffer overflow occurs during NHML file parsing in `src/filters/dmx_nhml.c`. The value of the xmlHeaderEnd XML attribute is copied from att->value into szXmlHeaderEnd[1000] using strcpy() without any length validation. If the input exceeds 1000 bytes, it overwrites beyond the stack buffer boundary. Commit 9bd7137fded2db40de61a2cf3045812c8741ec52 patches the issue.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2026-27933
Fecha de publicación:
26/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Manyfold is an open source, self-hosted web application for managing a collection of 3d models, particularly focused on 3d printing. Versions prior to 0.133.0 are vulnerable to session hijack via cookie leakage in proxy caches. Version 0.133.0 fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Mailpit (CVE-2026-27808)
Fecha de publicación:
26/02/2026
Idioma:
Español
Mailpit es una herramienta de prueba de correo electrónico y API para desarrolladores. Antes de la versión 1.29.2, la API de verificación de enlaces (Link Check API) (/api/v1/message/{ID}/link-check) es vulnerable a la falsificación de petición del lado del servidor (SSRF). El servidor realiza peticiones HTTP HEAD a cada URL encontrada en un correo electrónico sin validar los hosts de destino ni filtrar las direcciones IP privadas/internas. La respuesta devuelve códigos de estado y texto de estado por enlace, lo que la convierte en una SSRF no ciega. En la configuración predeterminada (sin autenticación en SMTP o API), esto es totalmente explotable de forma remota con cero interacción del usuario. Esta es la misma clase de vulnerabilidad que se corrigió en la API de verificación de HTML (HTML Check API) (CVE-2026-23845 / GHSA-6jxm-fv7w-rw5j) y el proxy de captura de pantalla (CVE-2026-21859 / GHSA-8v65-47jx-7mfr), pero la ruta de código de verificación de enlaces (Link Check) no se incluyó en ninguna de las correcciones. La versión 1.29.2 corrige esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/02/2026

Vulnerabilidad en Model Context Protocol Servers (CVE-2026-27735)
Fecha de publicación:
26/02/2026
Idioma:
Español
Servidores de Protocolo de Contexto de Modelo es una colección de implementaciones de referencia para el protocolo de contexto de modelo (MCP). En versiones de mcp-server-git anteriores a 2026.1.14, la herramienta git_add no validaba que las rutas de archivo proporcionadas en el argumento files estuvieran dentro de los límites del repositorio. Debido a que la herramienta utilizaba repo.index.add() de GitPython en lugar de la CLI de Git, las rutas relativas que contenían secuencias '../' que se resolvían fuera del repositorio eran aceptadas y preparadas en el índice de Git. Se aconseja a los usuarios que actualicen a la versión 2026.1.14 o posterior para solucionar este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Zed (CVE-2026-27800)
Fecha de publicación:
26/02/2026
Idioma:
Español
Zed, un editor de código, presenta una vulnerabilidad de Zip Slip (salto de ruta) en su funcionalidad de extracción de archivos de extensión anterior a la versión 0.224.4. La función 'extract_zip()' en 'crates/util/src/archive.rs' no valida los nombres de archivo de las entradas ZIP en busca de secuencias de salto de ruta (por ejemplo, '../'). Esto permite que una extensión maliciosa escriba archivos fuera de su directorio sandbox designado al descargar y extraer un archivo ZIP manipulado. La versión 0.224.4 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en Parse Server (CVE-2026-27804)
Fecha de publicación:
26/02/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede implementarse en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.3 y 9.1.1-alpha.4, un atacante no autenticado puede falsificar un token de autenticación de Google con 'alg: "none"' para iniciar sesión como cualquier usuario vinculado a una cuenta de Google, sin conocer sus credenciales. Todas las implementaciones con autenticación de Google habilitada se ven afectadas. La corrección en las versiones 8.6.3 y 9.1.1-alpha.4 codifica de forma rígida el algoritmo 'RS256' esperado en lugar de confiar en el encabezado JWT, y reemplaza el recuperador de claves personalizado del adaptador de Google con 'jwks-rsa' que rechaza los ID de clave desconocidos. Como solución alternativa, deshabilite la autenticación de Google hasta que sea posible la actualización.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
27/02/2026

Vulnerabilidad en ImageMagick (CVE-2026-27799)
Fecha de publicación:
26/02/2026
Idioma:
Español
ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, existe una vulnerabilidad de lectura excesiva de búfer de pila en el gestor del formato de imagen DJVU. La vulnerabilidad ocurre debido a un truncamiento de enteros al calcular el 'stride' (tamaño de fila) para la asignación del búfer de píxeles. El cálculo del 'stride' desborda un entero con signo de 32 bits, lo que resulta en lecturas de memoria fuera de límites. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades