Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ChurchCRM (CVE-2026-32880)
Fecha de publicación:
20/03/2026
Idioma:
Español
ChurchCRM es un sistema de gestión de iglesias de código abierto. Las versiones anteriores a la 7.0.2 permiten a un usuario administrador editar la configuración del sistema de tipo JSON para almacenar una carga útil de JavaScript que puede ejecutarse cuando cualquier administrador ve la configuración del sistema. La entrada JSON se deja sin escapar/sanear en SystemSettings.PHP, lo que lleva a XSS. Este problema ha sido solucionado en la versión 7.0.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en ewe (CVE-2026-32881)
Fecha de publicación:
20/03/2026
Idioma:
Español
ewe es un servidor web Gleam. ewe es un servidor web Gleam. Las versiones 0.6.0 a 3.0.4 son vulnerables a la omisión de autenticación o a encabezados de confianza de proxy falsificados. El manejo de trailers de codificación de transferencia por bloques fusiona los campos de trailer declarados en req.headers después del análisis del cuerpo, pero la lista de denegación solo bloquea 9 nombres de encabezado. Un cliente malicioso puede explotar esto declarando estos encabezados en el campo Trailer y añadiéndolos después del último bloque, lo que hace que request.set_header sobrescriba valores legítimos (por ejemplo, los establecidos por un proxy inverso). Esto permite a los atacantes falsificar credenciales de autenticación, secuestrar sesiones, omitir la limitación de velocidad basada en IP o falsificar encabezados de confianza de proxy en cualquier middleware posterior que lea los encabezados después de que se llame a ewe.read_body. Este problema ha sido solucionado en la versión 3.0.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en WebGL en Google Chrome (CVE-2026-4439)
Fecha de publicación:
20/03/2026
Idioma:
Español
Acceso a memoria fuera de límites en WebGL en Google Chrome para Android anterior a 146.0.7680.153 permitió a un atacante remoto realizar potencialmente un escape de sandbox a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Crítica)
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en WebGL en Google Chrome (CVE-2026-4440)
Fecha de publicación:
20/03/2026
Idioma:
Español
Lectura y escritura fuera de límites en WebGL en Google Chrome anterior a 146.0.7680.153 permitió a un atacante remoto realizar lectura/escritura arbitraria a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Crítica)
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Base en Google Chrome (CVE-2026-4441)
Fecha de publicación:
20/03/2026
Idioma:
Español
Uso después de liberar en Base en Google Chrome anterior a 146.0.7680.153 permitió a un atacante remoto potencialmente explotar corrupción de pila mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Crítica)
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en CSS en Google Chrome (CVE-2026-4442)
Fecha de publicación:
20/03/2026
Idioma:
Español
Desbordamiento de búfer de montón en CSS en Google Chrome anterior a 146.0.7680.153 permitió a un atacante remoto potencialmente explotar la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en WebAudio en Google Chrome (CVE-2026-4443)
Fecha de publicación:
20/03/2026
Idioma:
Español
Desbordamiento de búfer de montón en WebAudio en Google Chrome anterior a 146.0.7680.153 permitió a un atacante remoto ejecutar código arbitrario dentro de una sandbox a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Admidio (CVE-2026-32817)
Fecha de publicación:
20/03/2026
Idioma:
Español
Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.0 a 5.0.6, el módulo de documentos y archivos no verifica si el usuario actual tiene permiso para eliminar carpetas o archivos. Los manejadores de acciones folder_delete y file_delete en modules/documents-files.php solo realizan una verificación de autorización de VISTA (getFolderForDownload / getFileForDownload) antes de llamar a delete(), y nunca validan un token CSRF. Debido a que los UUID de destino se leen de $_GET, la eliminación puede ser activada por una solicitud HTTP GET simple. Cuando el módulo está en modo público (documents_files_module_enabled = 1) y una carpeta está marcada como pública (fol_public = true), un atacante no autenticado puede destruir permanentemente toda la biblioteca de documentos. Incluso cuando el módulo requiere inicio de sesión, cualquier usuario con acceso de solo lectura puede eliminar contenido que solo tiene permiso para leer. Este problema ha sido solucionado en la versión 5.0.7.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/03/2026

Vulnerabilidad en Admidio (CVE-2026-32812)
Fecha de publicación:
20/03/2026
Idioma:
Español
Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.0 a 5.0.6, la obtención de URL sin restricciones en la API de metadatos de SSO puede resultar en SSRF y lecturas de archivos locales. El endpoint de obtención de metadatos de SSO en modules/sso/fetch_metadata.php acepta una URL arbitraria a través de $_GET['url'], la valida solo con FILTER_VALIDATE_URL de PHP y la pasa directamente a file_get_contents(). FILTER_VALIDATE_URL acepta URIs con esquemas file://, http://, ftp://, data:// y php://. Un administrador autenticado puede usar este endpoint para leer archivos locales arbitrarios a través del wrapper file:// (Lectura de Archivo Local), alcanzar servicios internos a través de http:// (SSRF) u obtener metadatos de instancias en la nube. El cuerpo completo de la respuesta se devuelve textualmente al llamador. Este problema ha sido solucionado en la versión 5.0.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Admidio (CVE-2026-32813)
Fecha de publicación:
20/03/2026
Idioma:
Español
Admidio es una solución de gestión de usuarios de código abierto. Las versiones 5.0.6 e inferiores son vulnerables a inyección SQL arbitraria a través de la característica de configuración MyList. La característica de configuración MyList permite a los usuarios autenticados definir diseños de columnas de lista personalizados, almacenando nombres de columna, direcciones de ordenación y condiciones de filtro proporcionados por el usuario en la tabla adm_list_columns a través de sentencias preparadas. Sin embargo, estos valores almacenados se leen posteriormente y se interpolan directamente en consultas SQL construidas dinámicamente sin sanitización ni parametrización, creando una vulnerabilidad de inyección SQL de segundo orden clásica (escritura segura, lectura insegura). Un atacante puede explotar esto para inyectar SQL arbitrario, potencialmente leyendo, modificando o eliminando cualquier dato en la base de datos y logrando un compromiso total de la base de datos. Este problema ha sido corregido en la versión 5.0.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en UltraJSON (CVE-2026-32874)
Fecha de publicación:
20/03/2026
Idioma:
Español
UltraJSON es un codificador y decodificador JSON rápido escrito en C puro con enlaces para Python 3.7+. Las versiones 5.4.0 a 5.11.0 contienen una fuga de memoria acumulativa al analizar JSON enteros grandes (fuera del rango [-2^63, 2^64 - 1]). La memoria filtrada es una copia de la forma de cadena del entero más un byte NULL adicional. La fuga ocurre independientemente de si el entero se analiza con éxito o es rechazado por tener más dígitos que sys.get_int_max_str_digits(), lo que significa que se puede lograr una fuga de cualquier tamaño por JSON malicioso siempre que no haya un límite en el tamaño total de la carga útil. Cualquier servicio que llame a ujson.load()/ujson.loads()/ujson.decode() en entradas no confiables se ve afectado y es vulnerable a ataques de denegación de servicio. Este problema ha sido solucionado en la versión 5.12.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en UltraJSON (CVE-2026-32875)
Fecha de publicación:
20/03/2026
Idioma:
Español
UltraJSON es un codificador y decodificador JSON rápido escrito en C puro con enlaces para Python 3.7+. Las versiones 5.10 a 5.11.0 son vulnerables a desbordamiento de búfer o bucle infinito a través del manejo de sangrías grandes. ujson.dumps() bloquea el intérprete de Python (fallo de segmentación) cuando el producto del parámetro de sangría y la profundidad anidada de la entrada excede INT32_MAX. También puede quedarse atascado en un bucle infinito si la sangría es un número negativo grande. Ambos son causados por un desbordamiento/subdesbordamiento de entero mientras se calcula cuánta memoria reservar para la sangría. Y ambos pueden usarse para lograr denegación de servicio. Para ser vulnerable, un servicio debe llamar a ujson.dump()/ujson.dumps()/ujson.encode() mientras otorga a usuarios no confiables control sobre el parámetro de sangría y no restringe esa sangría a valores no negativos razonablemente pequeños. Un servicio también puede ser vulnerable al bucle infinito si utiliza una sangría negativa fija. Un subdesbordamiento siempre ocurre para cualquier sangría negativa cuando los datos de entrada están anidados al menos un nivel pero, para sangrías negativas pequeñas, el subdesbordamiento suele ser rectificado accidentalmente por otro desbordamiento. Este problema ha sido corregido en la versión 5.12.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026
Suscribirse a Vulnerabilidades