Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Kysely (CVE-2026-32763)
Fecha de publicación:
20/03/2026
Idioma:
Español
Kysely es un constructor de consultas SQL de TypeScript con seguridad de tipos. Las versiones hasta la 0.28.11 inclusive tienen una vulnerabilidad de inyección SQL en la compilación de rutas JSON para los dialectos de MySQL y SQLite. La función visitJSONPathLeg() añade valores controlados por el usuario de .key() y .at() directamente en literales de cadena de ruta JSON entre comillas simples ('$.key') sin escapar las comillas simples. Un atacante puede salir del contexto de la cadena de ruta JSON e inyectar SQL arbitrario. Esto es inconsistente con sanitizeIdentifier(), que duplica correctamente los caracteres delimitadores para los identificadores — ambos son constructos SQL no parametrizables que requieren escape manual, pero solo los identificadores están protegidos. La versión 0.28.12 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2026

Vulnerabilidad en SuiteCRM (CVE-2026-29189)
Fecha de publicación:
20/03/2026
Idioma:
Español
SuiteCRM es una aplicación de software de gestión de relaciones con clientes (CRM) de código abierto y lista para empresas. Antes de las versiones 7.15.1 y 8.9.3, la API REST V8 de SuiteCRM carece de comprobaciones de ACL (Lista de Control de Acceso) en varios puntos finales, lo que permite a los usuarios autenticados acceder y manipular datos con los que no deberían tener permiso para interactuar. Las versiones 7.15.1 y 8.9.3 parchean el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en SuiteCRM (CVE-2026-29109)
Fecha de publicación:
20/03/2026
Idioma:
Español
SuiteCRM es una aplicación de software de gestión de relaciones con clientes (CRM) de código abierto y lista para empresas. Las versiones hasta la 8.9.2 inclusive contienen una vulnerabilidad de deserialización insegura en el componente de procesamiento de filtros SavedSearch que permite a un administrador autenticado ejecutar comandos de sistema arbitrarios en el servidor. 'FilterDefinitionProvider.php' llama a 'unserialize()' en datos controlados por el usuario de la columna de la base de datos 'saved_search.contents' sin restringir las clases instanciables. La versión 8.9.3 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en Admidio (CVE-2026-32756)
Fecha de publicación:
20/03/2026
Idioma:
Español
Admidio es una solución de gestión de usuarios de código abierto. Las versiones 5.0.6 e inferiores contienen una crítica vulnerabilidad de carga de archivos sin restricciones en el módulo Documentos y Archivos. Debido a un fallo de diseño en cómo la validación del token CSRF y la verificación de la extensión de archivo interactúan dentro de UploadHandlerFile.php, un usuario autenticado con permisos de carga puede eludir las restricciones de extensión de archivo al enviar intencionadamente un token CSRF no válido. Esto permite la carga de tipos de archivo arbitrarios, incluyendo scripts PHP, lo que puede conducir a la ejecución remota de código en el servidor, resultando en un compromiso total del servidor, exfiltración de datos y movimiento lateral. Este problema ha sido solucionado en la versión 5.0.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en Admidio (CVE-2026-32757)
Fecha de publicación:
20/03/2026
Idioma:
Español
Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.6 e inferiores, el gestor de envío de eCard utiliza un valor $_POST['ecard_message'] sin procesar en lugar del $formValues['ecard_message'] saneado por HTMLPurifier al construir el HTML de la tarjeta de felicitación. Esto permite a un atacante autenticado inyectar HTML y JavaScript arbitrarios en correos electrónicos de tarjetas de felicitación enviados a otros miembros, eludiendo el saneamiento de HTMLPurifier del lado del servidor que se aplica correctamente al campo ecard_message durante la validación del formulario. Un ataque puede resultar en que cualquier miembro o rol reciba contenido de phishing que parezca legítimo, pasando de la aplicación web a los clientes de correo electrónico de los destinatarios. Este problema ha sido solucionado en la versión 5.0.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en SuiteCRM (CVE-2026-32697)
Fecha de publicación:
20/03/2026
Idioma:
Español
SuiteCRM es una aplicación de software de gestión de relaciones con los clientes (CRM) de código abierto y preparada para uso empresarial. Antes de la versión 8.9.3, el método `RecordHandler::getRecord()` recuperaba cualquier registro por módulo e ID sin comprobar el permiso de visualización de la lista de controles de acceso (ACL) del usuario actual. El método complementario `saveRecord()` comprueba correctamente `$bean->ACLAccess(“save”)`, pero `getRecord()` omite la comprobación equivalente `ACLAccess(“view”)`. La versión 8.9.3 corrige este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Spring Boot (CVE-2026-22733)
Fecha de publicación:
20/03/2026
Idioma:
Español
Las aplicaciones Spring Boot con Actuator pueden ser vulnerables a una 'vulnerabilidad de omisión de autenticación' cuando un endpoint de aplicación que requiere autenticación se declara bajo la ruta utilizada por los endpoints de Actuator de CloudFoundry. Este problema afecta a Spring Security: desde 4.0.0 hasta 4.0.3, desde 3.5.0 hasta 3.5.11, desde 3.4.0 hasta 3.4.14, desde 3.3.0 hasta 3.3.17, desde 2.7.0 hasta 2.7.31.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Spring MVC y WebFlux (CVE-2026-22735)
Fecha de publicación:
20/03/2026
Idioma:
Español
Las aplicaciones Spring MVC y WebFlux son vulnerables a la corrupción de flujo al usar Eventos Enviados por el Servidor (SSE). Este problema afecta a Spring Foundation: desde 7.0.0 hasta 7.0.5, desde 6.2.0 hasta 6.2.16, desde 6.1.0 hasta 6.1.25, desde 5.3.0 hasta 5.3.46.
Gravedad CVSS v3.1: BAJA
Última modificación:
20/03/2026

Vulnerabilidad en Spring Framework (CVE-2026-22737)
Fecha de publicación:
20/03/2026
Idioma:
Español
El uso de vistas de plantilla con motor de scripting de Java habilitado (p. ej., JRuby, Jython) en aplicaciones Spring MVC y Spring WebFlux puede resultar en la divulgación de contenido de archivos fuera de las ubicaciones configuradas para las vistas de plantilla de script. Este problema afecta a Spring framework: de 7.0.0 a 7.0.5, de 6.2.0 a 6.2.16, de 6.1.0 a 6.1.25, de 5.3.0 a 5.3.46.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en SuiteCRM (CVE-2026-29108)
Fecha de publicación:
20/03/2026
Idioma:
Español
SuiteCRM es una aplicación de software de Gestión de Relaciones con Clientes (CRM) de código abierto y lista para empresas. Antes de las versiones 8.9.3, un endpoint de API autenticado permite a cualquier usuario recuperar información detallada sobre cualquier otro usuario, incluyendo su hash de contraseña, nombre de usuario y configuración de MFA. Dado que cualquier usuario autenticado puede consultar este endpoint, es posible recuperar y potencialmente descifrar las contraseñas de los usuarios administrativos. La versión 8.9.3 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

CVE-2026-3948
Fecha de publicación:
19/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
19/03/2026

Vulnerabilidad en LuCI (CVE-2026-32721)
Fecha de publicación:
19/03/2026
Idioma:
Español
LuCI es la interfaz de configuración de OpenWrt. Las versiones anteriores a la 24.10.5 y a la 25.12.0 contienen una vulnerabilidad de XSS almacenado en el modal de escaneo inalámbrico, donde los valores de SSID de los resultados del escaneo se renderizan como HTML sin procesar sin ninguna sanitización. El archivo wireless.js en el paquete luci-mod-network pasa los SSID a través de un literal de plantilla a dom.append(), que los procesa a través de innerHTML, permitiendo a un atacante crear un SSID malicioso que contenga HTML/JavaScript arbitrario. La explotación requiere que el usuario abra activamente el modal de escaneo inalámbrico (por ejemplo, para conectarse a un punto de acceso Wi-Fi o para explorar canales cercanos), y solo afecta a las versiones de OpenWrt posteriores a la 23.05/22.03 hasta las versiones parcheadas (24.10.6 y 25.12.1). El problema ha sido solucionado en la versión LuCI 26.072.65753~068150b.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026
Suscribirse a Vulnerabilidades