Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Parse Server (CVE-2026-27804)
Fecha de publicación:
26/02/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede implementarse en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.3 y 9.1.1-alpha.4, un atacante no autenticado puede falsificar un token de autenticación de Google con 'alg: "none"' para iniciar sesión como cualquier usuario vinculado a una cuenta de Google, sin conocer sus credenciales. Todas las implementaciones con autenticación de Google habilitada se ven afectadas. La corrección en las versiones 8.6.3 y 9.1.1-alpha.4 codifica de forma rígida el algoritmo 'RS256' esperado en lugar de confiar en el encabezado JWT, y reemplaza el recuperador de claves personalizado del adaptador de Google con 'jwks-rsa' que rechaza los ID de clave desconocidos. Como solución alternativa, deshabilite la autenticación de Google hasta que sea posible la actualización.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
27/02/2026

Vulnerabilidad en ImageMagick (CVE-2026-27799)
Fecha de publicación:
26/02/2026
Idioma:
Español
ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, existe una vulnerabilidad de lectura excesiva de búfer de pila en el gestor del formato de imagen DJVU. La vulnerabilidad ocurre debido a un truncamiento de enteros al calcular el 'stride' (tamaño de fila) para la asignación del búfer de píxeles. El cálculo del 'stride' desborda un entero con signo de 32 bits, lo que resulta en lecturas de memoria fuera de límites. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en ImageMagick (CVE-2026-27798)
Fecha de publicación:
26/02/2026
Idioma:
Español
ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, ocurre una vulnerabilidad de lectura excesiva del búfer de pila al procesar una imagen con dimensiones pequeñas utilizando el operador -wavelet-denoise. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en NanaZip (CVE-2026-27711)
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y antes de las versiones 6.0.1638.0 y 6.5.1638.0, una vulnerabilidad de corrupción de memoria en el analizador UFS de NanaZip permite que un archivo '.ufs/.ufs2/.img' manipulado active un acceso a memoria fuera de límites durante la apertura/listado del archivo. El error es accesible a través del flujo normal de apertura de archivos por parte del usuario y puede causar el bloqueo del proceso, el cuelgue y una corrupción de pila potencialmente explotable. Las versiones 6.0.1638.0 y 6.5.1638.0 solucionan el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en NanaZip (CVE-2026-27710)
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y anterior a las versiones 6.0.1638.0 y 6.5.1638.0, existe una vulnerabilidad de denegación de servicio en el analizador de 'aplicación de archivo único .NET' de NanaZip. Un paquete manipulado puede forzar un desbordamiento negativo de enteros en el cálculo del tamaño de la cabecera y desencadenar un intento de asignación de memoria ilimitada durante la apertura del archivo. Las versiones 6.0.1638.0 y 6.5.1638.0 corrigen el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en NanaZip (CVE-2026-27709)
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y anteriores a las versiones 6.0.1638.0 y 6.5.1638.0, el analizador de 'Aplicación de Archivo Único .NET' de NanaZip tiene una vulnerabilidad de lectura fuera de límites en el análisis del manifiesto. Un paquete manipulado puede proporcionar una 'RelativePathLength' malformada de modo que el analizador construye un 'std::string' a partir de memoria más allá de 'HeaderBuffer', lo que lleva a un fallo y a una posible divulgación de memoria en proceso. Las versiones 6.0.1638.0 y 6.5.1638.0 solucionan el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Manyfold (CVE-2026-27635)
Fecha de publicación:
26/02/2026
Idioma:
Español
Manyfold es una aplicación web de código abierto y autoalojada para gestionar una colección de modelos 3D, particularmente enfocada en la impresión 3D. Antes de la versión 0.133.0, cuando la generación de renderizados de modelos está habilitada, un usuario autenticado puede lograr RCE al subir un archivo ZIP que contiene un archivo con un metacaracter de shell en su nombre. El nombre del archivo llega a una llamada de backtick de Ruby sin sanear. La versión 0.133.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en TinyWeb (CVE-2026-27633)
Fecha de publicación:
26/02/2026
Idioma:
Español
TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Las versiones anteriores a la versión 2.02 tienen una vulnerabilidad de denegación de servicio (DoS) a través del agotamiento de la memoria. Atacantes remotos no autenticados pueden enviar una solicitud POST HTTP al servidor con una cabecera 'Content-Length' excepcionalmente grande (p. ej., '2147483647'). El servidor asigna continuamente memoria para el cuerpo de la solicitud ('EntityBody') mientras transmite la carga útil sin imponer ningún límite máximo, lo que lleva a que toda la memoria disponible sea consumida y provoca la caída del servidor. Cualquiera que aloje servicios usando TinyWeb se ve afectado. La versión 2.02 corrige el problema. El parche introduce un límite 'CMaxEntityBodySize' (establecido en 10MB) para el tamaño máximo de las cargas útiles aceptadas. Como solución alternativa temporal si la actualización no es posible de inmediato, considere colocar el servidor detrás de un Cortafuegos de Aplicaciones Web (WAF) o un proxy inverso (como nginx o Cloudflare) configurado para limitar explícitamente el tamaño máximo permitido del cuerpo de la solicitud HTTP (p. ej., 'client_max_body_size' en nginx).
Gravedad CVSS v4.0: ALTA
Última modificación:
28/02/2026

Vulnerabilidad en Fleet (CVE-2026-26186)
Fecha de publicación:
26/02/2026
Idioma:
Español
Fleet es un software de gestión de dispositivos de código abierto. Una vulnerabilidad de inyección SQL en versiones anteriores a la 4.80.1 permitía a usuarios autenticados inyectar expresiones SQL arbitrarias a través del parámetro de consulta `order_key`. Debido al uso inseguro de `goqu.I()` al construir la cláusula `ORDER BY`, una entrada especialmente diseñada podría evadir el entrecomillado de identificadores y ser interpretada como SQL ejecutable. Un atacante autenticado con acceso al endpoint afectado podría inyectar expresiones SQL en la consulta MySQL subyacente. Aunque la inyección ocurre en un contexto `ORDER BY`, es suficiente para habilitar técnicas de inyección SQL ciega que pueden divulgar información de la base de datos a través de expresiones condicionales que afectan el orden de los resultados. Las expresiones diseñadas también pueden causar una computación excesiva o fallos en las consultas, lo que podría llevar a un rendimiento degradado o a una denegación de servicio. No se demostró evidencia directa de modificación de datos fiable o ejecución de consultas apiladas. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los usuarios deben restringir el acceso al endpoint afectado solo a roles de confianza y asegurarse de que cualquier parámetro de ordenación o columna proporcionado por el usuario esté estrictamente en una lista blanca en la capa de aplicación o proxy.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en TinyWeb (CVE-2026-27630)
Fecha de publicación:
26/02/2026
Idioma:
Español
TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Las versiones anteriores a la 2.02 son vulnerables a un ataque de denegación de servicio (DoS) conocido como Slowloris. El servidor genera un nuevo hilo del sistema operativo para cada conexión entrante sin imponer un límite máximo de concurrencia o un tiempo de espera de solicitud adecuado. Un atacante remoto no autenticado puede agotar los límites de concurrencia del servidor y la memoria abriendo numerosas conexiones y enviando datos excepcionalmente lento (por ejemplo, 1 byte cada pocos minutos). Cualquiera que aloje servicios usando TinyWeb se ve afectado. La versión 2.02 corrige el problema. El parche introduce un límite 'CMaxConnections' (establecido en 512) y un tiempo de espera de inactividad 'CConnectionTimeoutSecs' (establecido en 30 segundos). Como solución alternativa temporal si la actualización no es posible de inmediato, considere colocar el servidor detrás de un proxy inverso robusto o un cortafuegos de aplicaciones web (WAF) como nginx, HAProxy o Cloudflare, configurado para almacenar en búfer las solicitudes incompletas y aplicar agresivamente los límites y tiempos de espera de conexión.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/02/2026

Vulnerabilidad en n8n (CVE-2026-27497)
Fecha de publicación:
25/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.10.1, 2.9.3 y 1.123.22, un usuario autenticado con permiso para crear o modificar flujos de trabajo podría aprovechar el modo de consulta SQL del nodo Merge para ejecutar código arbitrario y escribir archivos arbitrarios en el servidor n8n. Los problemas se han solucionado en las versiones de n8n 2.10.1, 2.9.3 y 1.123.22. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar todas las vulnerabilidades conocidas. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales. Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o deshabilitar el nodo Merge añadiendo 'n8n-nodes-base.merge' a la variable de entorno 'NODES_EXCLUDE'. Estas soluciones provisionales no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
27/02/2026

Vulnerabilidad en n8n (CVE-2026-27498)
Fecha de publicación:
25/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.2.0 y 1.123.8, un usuario autenticado con permiso para crear o modificar flujos de trabajo podía encadenar el nodo Read/Write Files from Disk con operaciones git para lograr la ejecución remota de código. Al escribir en archivos de configuración específicos y luego activar una operación git, el atacante podía ejecutar comandos de shell arbitrarios en el host de n8n. El problema ha sido solucionado en las versiones 2.2.0 y 1.123.8 de n8n. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales. Limite los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o deshabilite el nodo Read/Write Files from Disk añadiendo 'n8n-nodes-base.readWriteFile' a la variable de entorno 'NODES_EXCLUDE'. Estas soluciones provisionales no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades