Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en froxlor (CVE-2026-30932)
Fecha de publicación:
24/03/2026
Idioma:
Español
Froxlor es un software de administración de servidor de código abierto. Antes de la versión 2.3.5, el endpoint de la API DomainZones.add (accesible para clientes con DNS habilitado) no valida el campo de contenido para varios tipos de registros DNS (LOC, RP, SSHFP, TLSA). Un atacante puede inyectar saltos de línea y directivas de archivo de zona BIND (p. ej., $INCLUDE) en el archivo de zona que se escribe en el disco cuando se ejecuta la tarea cron de reconstrucción de DNS. Este problema ha sido parcheado en la versión 2.3.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en Zabbix (CVE-2026-23921)
Fecha de publicación:
24/03/2026
Idioma:
Español
Un usuario de Zabbix con privilegios bajos y acceso a la API puede explotar una vulnerabilidad de inyección SQL ciega en include/classes/api/CApiService.php para ejecutar sentencias SELECT de SQL arbitrarias a través del parámetro sortfield. Aunque los resultados de la consulta no se devuelven directamente, un atacante puede exfiltrar datos arbitrarios de la base de datos mediante técnicas basadas en tiempo, lo que podría llevar a la divulgación de identificadores de sesión y al compromiso de cuentas de administrador.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en Zabbix (CVE-2026-23923)
Fecha de publicación:
24/03/2026
Idioma:
Español
Un atacante no autenticado puede explotar la acción 'validate' del Frontend para instanciar ciegamente clases PHP arbitrarias. El impacto depende de la configuración del entorno pero parece limitado en este momento.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en Zabbix (CVE-2026-23924)
Fecha de publicación:
24/03/2026
Idioma:
Español
El plugin de Docker de Zabbix Agent 2 no sanitiza correctamente los parámetros 'docker.container_info' al reenviarlos al demonio de Docker. Un atacante capaz de invocar a Agent 2 puede leer archivos arbitrarios de contenedores Docker en ejecución inyectándolos a través de la API de archivo de Docker.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en Zabbix (CVE-2026-23919)
Fecha de publicación:
24/03/2026
Idioma:
Español
Por razones de rendimiento, Zabbix Server/Proxy reutiliza contextos de JavaScript (Duktape) (utilizados en elementos de script, reprocesamiento de JavaScript, Webhooks). Esto puede llevar a una pérdida de confidencialidad donde un administrador de Zabbix regular (no-super) filtra datos de hosts a los que no tiene acceso. Se ha lanzado una corrección que hace que los objetos JavaScript integrados de Zabbix sean de solo lectura, pero tenga en cuenta que el uso de variables globales de JavaScript no está recomendado porque su contenido podría ser filtrado. Más información en la documentación de Zabbix.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en Zabbix (CVE-2026-23920)
Fecha de publicación:
24/03/2026
Idioma:
Español
La entrada de scripts de acción de host y evento se valida con una expresión regular (regex) (establecida por el administrador), pero la validación se ejecuta en modo multilínea. Si los anclajes ^ y $ se utilizan en la validación de entrada del usuario, un salto de línea inyectado permite a los usuarios autenticados eludir la verificación e inyectar comandos de shell.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en IDrive (CVE-2026-1995)
Fecha de publicación:
24/03/2026
Idioma:
Español
El proceso id_service.exe de IDrive se ejecuta con privilegios elevados y lee regularmente de varios archivos bajo el directorio C:\ProgramData\IDrive\. El contenido codificado en UTF16-LE de estos archivos se utiliza como argumentos para iniciar un proceso, pero pueden ser editados por cualquier usuario estándar que haya iniciado sesión en el sistema. Un atacante puede sobrescribir o editar los archivos para especificar una ruta a un ejecutable arbitrario, que luego será ejecutado por el proceso id_service.exe con privilegios de SYSTEM.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en Wallos de ellite (CVE-2026-33400)
Fecha de publicación:
24/03/2026
Idioma:
Español
Wallos es un rastreador de suscripciones personal de código abierto y autoalojable. Antes de la versión 4.7.0, una vulnerabilidad de cross-site scripting (XSS) almacenado en el endpoint de renombrado de método de pago permite a cualquier usuario autenticado inyectar JavaScript arbitrario que se ejecuta cuando cualquier usuario visita las páginas de Configuración, Suscripciones o Estadísticas. Combinado con la cookie de autenticación wallos_login que carece del flag HttpOnly, esto permite el secuestro completo de la sesión. Este problema ha sido parcheado en la versión 4.7.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Wallos de ellite (CVE-2026-33399)
Fecha de publicación:
24/03/2026
Idioma:
Español
Wallos es un rastreador de suscripciones personal de código abierto y autoalojable. Antes de la versión 4.7.0, la corrección de SSRF aplicada en la versión 4.6.2 para CVE-2026-30839 y CVE-2026-30840 está incompleta. La protección validate_webhook_url_for_ssrf() se añadió a los puntos finales de notificación test* pero no a los puntos finales de guardado save* correspondientes. Un usuario autenticado puede guardar una dirección IP interna/privada como URL de notificación, y cuando se ejecuta el trabajo cron sendnotifications.php, la solicitud se envía a la dirección IP interna sin ninguna validación de SSRF. Este problema ha sido parcheado en la versión 4.7.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en Wallos de ellite (CVE-2026-33401)
Fecha de publicación:
24/03/2026
Idioma:
Español
Wallos es un rastreador de suscripciones personales de código abierto y autoalojable. Antes de la versión 4.7.0, el parche introducido en el commit e8a513591 (CVE-2026-30840) añadió protección SSRF a los puntos finales de prueba de notificación, pero dejó tres superficies de ataque adicionales desprotegidas: el parámetro de host de AI Ollama, el punto final de recomendaciones de AI y el trabajo cron de notificación. Un usuario autenticado puede alcanzar servicios de red internos, puntos finales de metadatos en la nube (AWS IMDSv1, GCP, Azure IMDS) o servicios vinculados a localhost al proporcionar una URL manipulada a cualquiera de estos puntos finales. Este problema ha sido parcheado en la versión 4.7.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en Wallos de ellite (CVE-2026-33407)
Fecha de publicación:
24/03/2026
Idioma:
Español
Wallos es un rastreador de suscripciones personal de código abierto y autoalojable. Antes de la versión 4.7.0, el endpoint de Wallos /logos/search.PHP acepta las variables de entorno HTTP_PROXY y HTTPS_PROXY sin validación, lo que permite SSRF a través del secuestro de proxy. El servidor realiza la resolución DNS en los términos de búsqueda proporcionados por el usuario, que pueden ser controlados por atacantes para activar solicitudes salientes a dominios arbitrarios. Este problema ha sido parcheado en la versión 4.7.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en cms de craftcms (CVE-2026-33160)
Fecha de publicación:
24/03/2026
Idioma:
Español
Craft CMS es un sistema de gestión de contenido (CMS). Desde la versión 4.0.0-RC1 hasta antes de la versión 4.17.8 y desde la versión 5.0.0-RC1 hasta antes de la versión 5.9.14, un usuario no autenticado puede llamar a assets/generate-transform con un assetId privado, recibir una URL de transformación válida y obtener bytes de imagen transformada. El endpoint es anónimo y no aplica autorización por activo antes de devolver la URL de transformación. Este problema ha sido parcheado en las versiones 4.17.8 y 5.9.14.
Gravedad CVSS v4.0: BAJA
Última modificación:
26/03/2026
Suscribirse a Vulnerabilidades