Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WeGIA de LabRedesCefetRJ (CVE-2026-33133)
Fecha de publicación:
20/03/2026
Idioma:
Español
WeGIA es un gestor web para instituciones benéficas. En las versiones 3.6.5 y 3.6.6, la función loadBackupDB() importa archivos SQL de archivos de copia de seguridad subidos sin ninguna validación de contenido. Un atacante puede crear un archivo de copia de seguridad que contenga sentencias SQL arbitrarias que creen cuentas de administrador maliciosas, modifiquen contraseñas existentes o ejecuten cualquier operación de base de datos. Esto fue introducido en el commit 370104c. Este problema fue parcheado en la versión 3.6.7.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en H3 de H3js (CVE-2026-33131)
Fecha de publicación:
20/03/2026
Idioma:
Español
H3 es un framework H(TTP) mínimo. Las versiones 2.0.0-0 hasta 2.0.1-rc.14 contienen una vulnerabilidad de suplantación de encabezado Host en NodeRequestUrl (que extiende FastURL) que permite el bypass de middleware. Cuando se accede a event.url, event.url.hostname, o event.url._url, como en un middleware de registro, el gestor de acceso _url construye una URL a partir de datos no confiables, incluyendo el encabezado Host controlado por el usuario. Debido a que el router de H3 resuelve el gestor de ruta antes de que se ejecute el middleware, un atacante puede proporcionar un encabezado Host manipulado (p. ej., Host: localhost:3000/abchehe?) para hacer que la verificación de ruta del middleware falle mientras el gestor de ruta aún coincide, eludiendo efectivamente el middleware de autenticación o autorización. Esto afecta a cualquier aplicación construida sobre H3 (incluyendo Nitro/Nuxt) que acceda a las propiedades de event.url en middleware que protege rutas sensibles. El problema requiere una solución inmediata para evitar que FastURL.href se construya con entrada no saneada y controlada por el atacante. La versión 2.0.1-rc.15 contiene un parche para este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en zitadel (CVE-2026-33132)
Fecha de publicación:
20/03/2026
Idioma:
Español
ZITADEL es una plataforma de gestión de identidades de código abierto. Las versiones anteriores a la 3.4.9 y de la 4.0.0 a la 4.12.2 permitían a los usuarios eludir la aplicación de la organización durante la autenticación. Zitadel permite a las aplicaciones aplicar un contexto de organización durante la autenticación utilizando ámbitos (urn:zitadel:iam:org:id:{id} y urn:zitadel:iam:org:domain:primary:{domainname}). Si se aplica, un usuario necesita ser parte de la organización requerida para iniciar sesión. Aunque esto se aplicaba correctamente para las solicitudes de autorización de OAuth2/OIDC en el inicio de sesión V1, faltaban controles correspondientes para las solicitudes de autorización de dispositivos y todos los puntos finales de inicio de sesión V2 y OIDC API V2. Esto permitía a los usuarios eludir la restricción e iniciar sesión con usuarios de otras organizaciones. Tenga en cuenta que esta aplicación permite una verificación adicional durante la autenticación y las aplicaciones que dependen de autorizaciones / asignaciones de roles no se ven afectadas por esta elusión. Este problema ha sido parcheado en las versiones 3.4.9 y 4.12.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Traefik (CVE-2026-32595)
Fecha de publicación:
20/03/2026
Idioma:
Español
Traefik es un proxy inverso HTTP y un balanceador de carga. Las versiones 2.11.40 e inferiores, 3.0.0-beta1 hasta 3.6.11, y 3.7.0-ea.1 contienen un middleware BasicAuth que permite la enumeración de nombres de usuario mediante un ataque de temporización. Cuando un nombre de usuario enviado existe, el middleware realiza una comparación de contraseñas bcrypt que tarda aproximadamente 166 ms. Cuando el nombre de usuario no existe, la respuesta se devuelve inmediatamente en aproximadamente 0.6 ms. Esta diferencia de temporización de aproximadamente 298x es observable a través de la red y permite a un atacante no autenticado distinguir de forma fiable los nombres de usuario válidos de los no válidos. Este problema está parcheado en las versiones 2.11.41, 3.6.11 y 3.7.0-ea.2.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Traefik (CVE-2026-32305)
Fecha de publicación:
20/03/2026
Idioma:
Español
Traefik es un proxy inverso HTTP y balanceador de carga. Las versiones 2.11.40 e inferiores, 3.0.0-beta1 hasta 3.6.11, y 3.7.0-ea.1 son vulnerables a un bypass de mTLS a través de la lógica de pre-sniffing de SNI de TLS relacionada con paquetes ClientHello fragmentados. Cuando un ClientHello de TLS se fragmenta en múltiples registros, la extracción de SNI de Traefik puede fallar con un EOF y devolver un SNI vacío. El router TCP entonces recurre a la configuración TLS predeterminada, que no requiere certificados de cliente por defecto. Esto permite a un atacante saltarse la aplicación de mTLS a nivel de ruta y acceder a servicios que deberían requerir autenticación TLS mutua. Este problema está parcheado en las versiones 2.11.41, 3.6.11 y 3.7.0-ea.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en Greenshot (CVE-2026-25792)
Fecha de publicación:
20/03/2026
Idioma:
Español
Greenshot es una utilidad de captura de pantalla de código abierto para Windows. Las versiones 1.3.312 e inferiores tienen una vulnerabilidad de ruta de búsqueda de ejecutables no confiable / secuestro de binarios que permite a un atacante local ejecutar código arbitrario cuando la aplicación de Windows afectada inicia explorer.exe sin usar una ruta absoluta. El comportamiento vulnerable se activa cuando el usuario hace doble clic en el icono de la bandeja de la aplicación, lo que abre el directorio que contiene la captura de pantalla más reciente capturada por la aplicación. Al colocar un ejecutable malicioso con el mismo nombre en una ubicación buscada antes que el binario legítimo de Windows, un atacante puede obtener la ejecución de código en el contexto de la aplicación. Este problema no tenía un parche en el momento de la publicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en H3 de H3js (CVE-2026-33129)
Fecha de publicación:
20/03/2026
Idioma:
Español
H3 es un framework H(TTP) mínimo. Las versiones 2.0.1-beta.0 hasta la 2.0.0-rc.8 contienen una vulnerabilidad de canal lateral de tiempo en la función requireBasicAuth debido al uso de una comparación de cadenas insegura (!==). Esto permite a un atacante deducir la contraseña válida carácter por carácter midiendo el tiempo de respuesta del servidor, eludiendo eficazmente las protecciones de complejidad de la contraseña. Este problema está solucionado en la versión 2.0.1-rc.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en H3 de H3js (CVE-2026-33128)
Fecha de publicación:
20/03/2026
Idioma:
Español
H3 es un framework H(TTP) mínimo. En versiones anteriores a la 1.15.6 y entre la 2.0.0 y la 2.0.1-rc.14, createEventStream es vulnerable a la inyección de Eventos Enviados por el Servidor (SSE) debido a la falta de saneamiento de nueva línea en formatEventStreamMessage() y formatEventStreamComment(). Un atacante que controla cualquier parte de un campo de mensaje SSE (id, evento, datos o comentario) puede inyectar eventos SSE arbitrarios a los clientes conectados. Este problema está solucionado en las versiones 1.15.6 y 2.0.1-rc.15.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Frigate (CVE-2026-33125)
Fecha de publicación:
20/03/2026
Idioma:
Español
Frigate es un grabador de vídeo en red (NVR) con detección de objetos local en tiempo real para cámaras IP. En las versiones 0.16.2 e inferiores, los usuarios con el rol de espectador pueden eliminar cuentas de administrador y de usuario con pocos privilegios. La explotación puede conducir a DoS y afectar la integridad de los datos. Este problema ha sido parcheado en la versión 0.16.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Uptime Kuma (CVE-2026-33130)
Fecha de publicación:
20/03/2026
Idioma:
Español
Uptime Kuma es una herramienta de monitoreo de código abierto y autoalojada. En las versiones 1.23.0 a 2.2.0, la corrección de GHSA-vffh-c9pq-4crh no funciona completamente para prevenir la Inyección de Plantillas del Lado del Servidor (SSTI). Las tres mitigaciones añadidas al motor Liquid (root, relativeReference, dynamicPartials) solo bloquean rutas entre comillas. Si un proyecto utiliza una ruta absoluta sin comillas, los atacantes aún pueden leer cualquier archivo en el servidor. La corrección original en notification-provider.js solo restringe los dos primeros pasos de la resolución de archivos de LiquidJS (a través de las opciones root, relativeReference y dynamicPartials), pero el tercer paso, el fallback de require.resolve() en liquid.node.js no tiene una verificación de contención, permitiendo que rutas absolutas sin comillas como /etc /passwd se resuelvan con éxito. Las rutas entre comillas se bloquean solo porque los caracteres de comillas literales hacen que require.resolve('"/etc /passwd"') arroje un error MODULE_NOT_FOUND, no debido a ninguna medida de seguridad intencional. Este problema ha sido corregido en la versión 2.2.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Flash Video Player (CVE-2024-32537)
Fecha de publicación:
20/03/2026
Idioma:
Español
Falsificación de petición en sitios cruzados (CSRF) vulnerabilidad en joshuae1974 Flash Video Player permite falsificación de petición en sitios cruzados. Este problema afecta a Flash Video Player: desde n/a hasta 5.0.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Melania (CVE-2026-22324)
Fecha de publicación:
20/03/2026
Idioma:
Español
La vulnerabilidad de Control inadecuado del nombre de fichero para la declaración include/require en un programa PHP ('inclusión remota de ficheros PHP') en ThemeREX Melania permite la inclusión local de ficheros PHP. Este problema afecta a Melania: desde n/a hasta 2.5.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026
Suscribirse a Vulnerabilidades