Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en parse-server de parse-community (CVE-2026-33539)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.59 y 9.6.0-alpha.53, un atacante con acceso a la clave maestra puede ejecutar sentencias SQL arbitrarias en la base de datos PostgreSQL inyectando metacaracteres SQL en los parámetros de nombre de campo de la etapa de pipeline $group de agregación o la operación distinct. Esto permite la escalada de privilegios de administrador a nivel de aplicación de Parse Server a acceso a nivel de base de datos PostgreSQL. Solo las implementaciones de Parse Server que usan PostgreSQL se ven afectadas. Las implementaciones de MongoDB no se ven afectadas. Este problema ha sido parcheado en las versiones 8.6.59 y 9.6.0-alpha.53.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33498)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.55 y 9.6.0-alpha.44, un atacante puede enviar una solicitud HTTP no autenticada con una consulta profundamente anidada que contenga operadores lógicos para colgar permanentemente el proceso de Parse Server. El servidor se vuelve completamente inoperable y debe ser reiniciado manualmente. Esto es un bypass de la corrección para CVE-2026-32944. Este problema ha sido parcheado en las versiones 8.6.55 y 9.6.0-alpha.44.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33508)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.56 y 9.6.0-alpha.45, el componente LiveQuery de Parse Server no aplica la configuración requestComplexity.queryDepth al procesar solicitudes de suscripción WebSocket. Un atacante puede enviar una suscripción con operadores lógicos profundamente anidados, causando recursión excesiva y consumo de CPU que degrada o interrumpe la disponibilidad del servicio. Este problema ha sido parcheado en las versiones 8.6.56 y 9.6.0-alpha.45.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33527)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.57 y 9.6.0-alpha.48, un usuario autenticado puede sobrescribir campos de sesión generados por el servidor, como expiresAt y createdWith, al actualizar su propia sesión a través de la API REST. Esto permite eludir la política de vida útil de la sesión configurada del servidor, haciendo que una sesión sea efectivamente permanente. Este problema ha sido parcheado en las versiones 8.6.57 y 9.6.0-alpha.48.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33538)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.58 y 9.6.0-alpha.52, un atacante no autenticado puede causar denegación de servicio enviando solicitudes de autenticación con nombres de proveedor arbitrarios y no configurados. El servidor ejecuta una consulta de base de datos para cada proveedor no configurado antes de rechazar la solicitud, y dado que no existe un índice de base de datos para proveedores no configurados, cada solicitud desencadena un escaneo completo de la colección en la base de datos de usuarios. Esto puede ser paralelizado para saturar los recursos de la base de datos. Este problema ha sido parcheado en las versiones 8.6.58 y 9.6.0-alpha.52.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33409)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.52 y 9.6.0-alpha.41, una vulnerabilidad de omisión de autenticación permite a un atacante iniciar sesión como cualquier usuario que haya vinculado un proveedor de autenticación de terceros, sin conocer las credenciales del usuario. El atacante solo necesita conocer el ID de proveedor del usuario para obtener acceso completo a su cuenta, incluyendo un token de sesión válido. Esto afecta a las implementaciones de Parse Server donde la opción del servidor allowExpiredAuthDataToken está configurada como true. El valor predeterminado es false. Este problema ha sido parcheado en las versiones 8.6.52 y 9.6.0-alpha.41.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33421)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.53 y 9.6.0-alpha.42, la interfaz LiveQuery WebSocket de Parse Server no aplica los permisos de puntero de Permiso a Nivel de Clase (CLP) (readUserFields y pointerFields). Cualquier usuario autenticado puede suscribirse a eventos LiveQuery y recibir actualizaciones en tiempo real para todos los objetos en clases protegidas por permisos de puntero, independientemente de si los campos de puntero en esos objetos apuntan al usuario suscriptor. Esto elude el control de acceso de lectura previsto, permitiendo el acceso no autorizado a datos potencialmente sensibles que están correctamente restringidos a través de la API REST. Este problema ha sido parcheado en las versiones 8.6.53 y 9.6.0-alpha.42.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33429)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.54 y 9.6.0-alpha.43, un atacante puede suscribirse a LiveQuery con un parámetro watch dirigido a un campo protegido. Aunque el valor del campo protegido se elimina correctamente de las cargas útiles de los eventos, la presencia o ausencia de eventos de actualización revela si el campo protegido cambió, creando un oráculo binario. Para campos protegidos booleanos, el momento de los eventos de cambio es equivalente a conocer el valor del campo. Este problema ha sido parcheado en las versiones 8.6.54 y 9.6.0-alpha.43.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en Wallos de ellite (CVE-2026-33417)
Fecha de publicación:
24/03/2026
Idioma:
Español
Wallos es un rastreador de suscripciones personal de código abierto y autoalojable. Antes de la versión 4.7.2, los tokens de restablecimiento de contraseña en Wallos nunca caducaban. La tabla password_resets incluye una columna de marca de tiempo created_at, pero la lógica de validación del token nunca la verifica. Un token de restablecimiento de contraseña permanece válido indefinidamente hasta que se utiliza, permitiendo a un atacante que intercepta un enlace de restablecimiento en cualquier momento usarlo días, semanas o meses después. Este problema ha sido parcheado en la versión 4.7.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-33323)
Fecha de publicación:
24/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.51 y 9.6.0-alpha.40, la ruta Pages y la ruta PublicAPI heredada para reenviar enlaces de verificación de correo electrónico devuelven respuestas distinguibles dependiendo de si el nombre de usuario proporcionado existe y tiene un correo electrónico sin verificar. Esto permite a un atacante no autenticado enumerar nombres de usuario válidos observando diferentes objetivos de redirección. La opción de configuración existente emailVerifySuccessOnInvalidEmail, que está habilitada por defecto y protege la ruta API contra esto, no se aplicaba a estas rutas. Este problema ha sido parcheado en las versiones 8.6.51 y 9.6.0-alpha.40.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en Mosaic Show Controller de Pharos Controls (CVE-2026-2417)
Fecha de publicación:
24/03/2026
Idioma:
Español
Una vulnerabilidad de Falta de Autenticación para Función Crítica en el firmware del Pharos Controls Mosaic Show Controller versión 2.15.3 podría permitir a un atacante no autenticado eludir la autenticación y ejecutar comandos arbitrarios con privilegios de root.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/03/2026

Vulnerabilidad en astro de withastro (CVE-2026-29772)
Fecha de publicación:
24/03/2026
Idioma:
Español
Astro es un framework web. Antes de la versión 10.0.0, el gestor POST de Server Islands de Astro almacena en búfer y analiza el cuerpo completo de la solicitud como JSON sin aplicar un límite de tamaño. Debido a que JSON.parse() asigna un objeto de pila V8 para cada elemento en la entrada, una carga útil manipulada de muchos objetos JSON pequeños logra una amplificación de memoria de ~15x (bytes en tránsito a bytes en pila), permitiendo que una única solicitud no autenticada agote la pila del proceso y bloquee el servidor. La ruta /_server-islands/[name] está registrada en todas las aplicaciones Astro SSR independientemente de si algún componente utiliza server:defer, y el cuerpo se analiza antes de que se valide el nombre de la isla, por lo que cualquier aplicación Astro SSR con el adaptador autónomo de Node se ve afectada. Este problema ha sido parcheado en la versión 10.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2026
Suscribirse a Vulnerabilidades