Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en MinIO (CVE-2026-33322)
Fecha de publicación:
24/03/2026
Idioma:
Español
MinIO es un sistema de almacenamiento de objetos de alto rendimiento. Desde RELEASE.2022-11-08T05-27-07Z hasta antes de RELEASE.2026-03-17T21-25-16Z, una vulnerabilidad de confusión de algoritmo JWT en la autenticación OpenID Connect de MinIO permite a un atacante que conoce el OIDC ClientSecret forjar tokens de identidad arbitrarios y obtener credenciales S3 con cualquier política, incluyendo consoleAdmin. Este problema ha sido parcheado en RELEASE.2026-03-17T21-25-16Z.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
08/04/2026

Vulnerabilidad en pyLoad (CVE-2026-33314)
Fecha de publicación:
24/03/2026
Idioma:
Español
pyLoad es un gestor de descargas de código abierto y gratuito escrito en Python. Antes de la versión 0.5.0b3.dev97, una vulnerabilidad de suplantación de encabezado de host en el decorador @local_check permite a atacantes externos no autenticados eludir las restricciones de solo acceso local. Esto otorga acceso a los puntos finales de la API de Click'N'Load, lo que permite a los atacantes poner en cola descargas arbitrarias de forma remota, lo que lleva a la falsificación de petición del lado del servidor (SSRF) y a la denegación de servicio (DoS). Este problema ha sido parcheado en la versión 0.5.0b3.dev97.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en sbt (CVE-2026-32948)
Fecha de publicación:
24/03/2026
Idioma:
Español
sbt es una herramienta de construcción para Scala, Java y otros. Desde la versión 0.9.5 hasta antes de la versión 1.12.7, en Windows, sbt utiliza Process(cmd, /c, ...) para ejecutar comandos VCS (git, hg, svn). El fragmento URI (rama, etiqueta, revisión) es controlado por el usuario a través de la definición de construcción y se pasa a estos comandos sin validación. Debido a que cmd /c interpreta &, |, y ; como separadores de comandos, un fragmento malicioso puede ejecutar comandos arbitrarios. Este problema ha sido parcheado en la versión 1.12.7.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en UniFi Network Server de Ubiquiti Inc (CVE-2026-22559)
Fecha de publicación:
24/03/2026
Idioma:
Español
Una vulnerabilidad de validación de entrada incorrecta en UniFi Network Server puede permitir el acceso no autorizado a una cuenta si el propietario de la cuenta es víctima de ingeniería social para hacer clic en un enlace malicioso.<br /> <br /> Productos afectados:<br /> UniFi Network Server (Versión 10.1.85 y anteriores)<br /> <br /> Mitigación:<br /> Actualice UniFi Network Server a la Versión 10.1.89 o posterior.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en Traveler de HCLSoftware (CVE-2026-21783)
Fecha de publicación:
24/03/2026
Idioma:
Español
HCL Traveler se ve afectado por una revelación de información sensible. La aplicación genera algunos mensajes de error que proporcionan información detallada sobre errores y fallos, como rutas internas, nombres de archivo, tokens sensibles, credenciales, códigos de error o trazas de pila. Los atacantes podrían explotar esta información para obtener información sobre la arquitectura del sistema y potencialmente lanzar ataques dirigidos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33627)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.61 y 9.6.0-alpha.55, un usuario autenticado que llama a GET /users/me recibe datos de autenticación sin sanitizar, incluyendo credenciales sensibles como secretos TOTP de MFA y códigos de recuperación. El endpoint utiliza internamente autenticación de nivel maestro para la consulta de sesión, y el contexto maestro se filtra a los datos del usuario, eludiendo la sanitización del adaptador de autenticación. Un atacante que obtiene el token de sesión de un usuario puede extraer secretos de MFA para generar códigos TOTP válidos indefinidamente. Este problema ha sido parcheado en las versiones 8.6.61 y 9.6.0-alpha.55.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33624)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.60 y 9.6.0-alpha.54, un atacante que obtiene la contraseña de un usuario y un único código de recuperación MFA puede reutilizar ese código de recuperación un número ilimitado de veces enviando solicitudes de inicio de sesión concurrentes. Esto anula el diseño de un solo uso de los códigos de recuperación. El ataque requiere la contraseña del usuario, un código de recuperación válido y la capacidad de enviar solicitudes concurrentes en cuestión de milisegundos. Este problema ha sido parcheado en las versiones 8.6.60 y 9.6.0-alpha.54.
Gravedad CVSS v4.0: BAJA
Última modificación:
25/03/2026

Vulnerabilidad en astro de withastro (CVE-2026-33769)
Fecha de publicación:
24/03/2026
Idioma:
Español
Astro es un framework web. Desde la versión 2.10.10 hasta antes de la versión 5.18.1, este problema concierne la aplicación de rutas de remotePatterns de Astro para URLs remotas utilizadas por capturadores del lado del servidor, como el endpoint de optimización de imágenes. La lógica de coincidencia de rutas para comodines /* no está anclada, por lo que un nombre de ruta que contenga el prefijo permitido más adelante en la ruta aún puede coincidir. Como resultado, un atacante puede obtener rutas fuera del prefijo permitido previsto en un host que de otro modo estaría permitido. Este problema ha sido parcheado en la versión 5.18.1.
Gravedad CVSS v4.0: BAJA
Última modificación:
26/03/2026

Vulnerabilidad en astro de withastro (CVE-2026-33768)
Fecha de publicación:
24/03/2026
Idioma:
Español
Astro es un web framework. Antes de la versión 10.0.2, el punto de entrada sin servidor @astrojs/vercel lee la cabecera x-astro-path y el parámetro de consulta x_astro_path para reescribir la ruta de solicitud interna, sin autenticación alguna. En despliegues sin Edge Middleware, esto permite a cualquiera eludir por completo las restricciones de ruta a nivel de plataforma de Vercel. La anulación preserva el método HTTP y el cuerpo originales, por lo que esto no se limita a GET. POST, PUT, DELETE todos aterrizan en la ruta reescrita. Una regla de cortafuegos que bloquea /admin/* no hace nada cuando la solicitud llega como POST /api/health?x_astro_path=/admin/delete-user. Este problema ha sido parcheado en la versión 10.0.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33539)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.59 y 9.6.0-alpha.53, un atacante con acceso a la clave maestra puede ejecutar sentencias SQL arbitrarias en la base de datos PostgreSQL inyectando metacaracteres SQL en los parámetros de nombre de campo de la etapa de pipeline $group de agregación o la operación distinct. Esto permite la escalada de privilegios de administrador a nivel de aplicación de Parse Server a acceso a nivel de base de datos PostgreSQL. Solo las implementaciones de Parse Server que usan PostgreSQL se ven afectadas. Las implementaciones de MongoDB no se ven afectadas. Este problema ha sido parcheado en las versiones 8.6.59 y 9.6.0-alpha.53.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33498)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.55 y 9.6.0-alpha.44, un atacante puede enviar una solicitud HTTP no autenticada con una consulta profundamente anidada que contenga operadores lógicos para colgar permanentemente el proceso de Parse Server. El servidor se vuelve completamente inoperable y debe ser reiniciado manualmente. Esto es un bypass de la corrección para CVE-2026-32944. Este problema ha sido parcheado en las versiones 8.6.55 y 9.6.0-alpha.44.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33508)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.56 y 9.6.0-alpha.45, el componente LiveQuery de Parse Server no aplica la configuración requestComplexity.queryDepth al procesar solicitudes de suscripción WebSocket. Un atacante puede enviar una suscripción con operadores lógicos profundamente anidados, causando recursión excesiva y consumo de CPU que degrada o interrumpe la disponibilidad del servicio. Este problema ha sido parcheado en las versiones 8.6.56 y 9.6.0-alpha.45.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026
Suscribirse a Vulnerabilidades