Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Admidio (CVE-2026-32817)
Fecha de publicación:
20/03/2026
Idioma:
Español
Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.0 a 5.0.6, el módulo de documentos y archivos no verifica si el usuario actual tiene permiso para eliminar carpetas o archivos. Los manejadores de acciones folder_delete y file_delete en modules/documents-files.php solo realizan una verificación de autorización de VISTA (getFolderForDownload / getFileForDownload) antes de llamar a delete(), y nunca validan un token CSRF. Debido a que los UUID de destino se leen de $_GET, la eliminación puede ser activada por una solicitud HTTP GET simple. Cuando el módulo está en modo público (documents_files_module_enabled = 1) y una carpeta está marcada como pública (fol_public = true), un atacante no autenticado puede destruir permanentemente toda la biblioteca de documentos. Incluso cuando el módulo requiere inicio de sesión, cualquier usuario con acceso de solo lectura puede eliminar contenido que solo tiene permiso para leer. Este problema ha sido solucionado en la versión 5.0.7.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/03/2026

Vulnerabilidad en Admidio (CVE-2026-32812)
Fecha de publicación:
20/03/2026
Idioma:
Español
Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.0 a 5.0.6, la obtención de URL sin restricciones en la API de metadatos de SSO puede resultar en SSRF y lecturas de archivos locales. El endpoint de obtención de metadatos de SSO en modules/sso/fetch_metadata.php acepta una URL arbitraria a través de $_GET['url'], la valida solo con FILTER_VALIDATE_URL de PHP y la pasa directamente a file_get_contents(). FILTER_VALIDATE_URL acepta URIs con esquemas file://, http://, ftp://, data:// y php://. Un administrador autenticado puede usar este endpoint para leer archivos locales arbitrarios a través del wrapper file:// (Lectura de Archivo Local), alcanzar servicios internos a través de http:// (SSRF) u obtener metadatos de instancias en la nube. El cuerpo completo de la respuesta se devuelve textualmente al llamador. Este problema ha sido solucionado en la versión 5.0.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Admidio (CVE-2026-32813)
Fecha de publicación:
20/03/2026
Idioma:
Español
Admidio es una solución de gestión de usuarios de código abierto. Las versiones 5.0.6 e inferiores son vulnerables a inyección SQL arbitraria a través de la característica de configuración MyList. La característica de configuración MyList permite a los usuarios autenticados definir diseños de columnas de lista personalizados, almacenando nombres de columna, direcciones de ordenación y condiciones de filtro proporcionados por el usuario en la tabla adm_list_columns a través de sentencias preparadas. Sin embargo, estos valores almacenados se leen posteriormente y se interpolan directamente en consultas SQL construidas dinámicamente sin sanitización ni parametrización, creando una vulnerabilidad de inyección SQL de segundo orden clásica (escritura segura, lectura insegura). Un atacante puede explotar esto para inyectar SQL arbitrario, potencialmente leyendo, modificando o eliminando cualquier dato en la base de datos y logrando un compromiso total de la base de datos. Este problema ha sido corregido en la versión 5.0.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en UltraJSON (CVE-2026-32874)
Fecha de publicación:
20/03/2026
Idioma:
Español
UltraJSON es un codificador y decodificador JSON rápido escrito en C puro con enlaces para Python 3.7+. Las versiones 5.4.0 a 5.11.0 contienen una fuga de memoria acumulativa al analizar JSON enteros grandes (fuera del rango [-2^63, 2^64 - 1]). La memoria filtrada es una copia de la forma de cadena del entero más un byte NULL adicional. La fuga ocurre independientemente de si el entero se analiza con éxito o es rechazado por tener más dígitos que sys.get_int_max_str_digits(), lo que significa que se puede lograr una fuga de cualquier tamaño por JSON malicioso siempre que no haya un límite en el tamaño total de la carga útil. Cualquier servicio que llame a ujson.load()/ujson.loads()/ujson.decode() en entradas no confiables se ve afectado y es vulnerable a ataques de denegación de servicio. Este problema ha sido solucionado en la versión 5.12.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en UltraJSON (CVE-2026-32875)
Fecha de publicación:
20/03/2026
Idioma:
Español
UltraJSON es un codificador y decodificador JSON rápido escrito en C puro con enlaces para Python 3.7+. Las versiones 5.10 a 5.11.0 son vulnerables a desbordamiento de búfer o bucle infinito a través del manejo de sangrías grandes. ujson.dumps() bloquea el intérprete de Python (fallo de segmentación) cuando el producto del parámetro de sangría y la profundidad anidada de la entrada excede INT32_MAX. También puede quedarse atascado en un bucle infinito si la sangría es un número negativo grande. Ambos son causados por un desbordamiento/subdesbordamiento de entero mientras se calcula cuánta memoria reservar para la sangría. Y ambos pueden usarse para lograr denegación de servicio. Para ser vulnerable, un servicio debe llamar a ujson.dump()/ujson.dumps()/ujson.encode() mientras otorga a usuarios no confiables control sobre el parámetro de sangría y no restringe esa sangría a valores no negativos razonablemente pequeños. Un servicio también puede ser vulnerable al bucle infinito si utiliza una sangría negativa fija. Un subdesbordamiento siempre ocurre para cualquier sangría negativa cuando los datos de entrada están anidados al menos un nivel pero, para sangrías negativas pequeñas, el subdesbordamiento suele ser rectificado accidentalmente por otro desbordamiento. Este problema ha sido corregido en la versión 5.12.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en ewe (CVE-2026-32873)
Fecha de publicación:
20/03/2026
Idioma:
Español
ewe es un servidor web Gleam. Las versiones 0.8.0 a 3.0.4 contienen un error en la función handle_trailers donde los encabezados de tráiler rechazados (prohibidos o no declarados) causan un bucle infinito. Cuando handle_trailers encuentra un tráiler de este tipo, tres rutas de código (líneas 520, 523, 526) recursan con el búfer original (rest) en lugar de avanzar más allá del encabezado rechazado (Buffer(header_rest, 0)), lo que provoca que decoder.decode_packet vuelva a analizar el mismo encabezado en cada iteración. El bucle resultante no tiene tiempo de espera ni escape — el proceso BEAM se atasca permanentemente al 100% de CPU. Cualquier aplicación que llama a ewe.read_body en solicitudes fragmentadas se ve afectada, y esto es explotable por cualquier cliente remoto no autenticado antes de que el control regrese al código de la aplicación, lo que hace imposible una solución alternativa a nivel de aplicación. Este problema está solucionado en la versión 3.0.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Heimdall (CVE-2026-32811)
Fecha de publicación:
20/03/2026
Idioma:
Español
Heimdall es un Proxy Consciente de la Identidad y un servicio de decisión de control de acceso nativo de la nube. Al usar Heimdall en modo API de decisión gRPC de Envoy con las versiones 0.7.0-alpha hasta 0.17.10, una codificación incorrecta de la cadena de URL de consulta permite que se eludan reglas con expresiones de ruta sin comodines. Envoy divide la URL solicitada en partes y envía las partes individualmente a Heimdall. Aunque la consulta y la ruta están presentes en la API, el campo de consulta está documentado para estar siempre vacío y la consulta de la URL se incluye en el campo de ruta. La implementación utiliza la biblioteca url de Go para reconstruir la URL, lo que codifica automáticamente los caracteres especiales en la ruta. Como consecuencia, un parámetro como /mypath?foo=bar a Path se escapa a /mypath%3Ffoo=bar. Posteriormente, una regla que coincide con /mypath ya no coincide y es eludida. El problema solo puede conducir a un acceso no intencionado si Heimdall está configurado con una regla predeterminada de 'permitir todo'. Desde la v0.16.0, Heimdall aplica valores predeterminados seguros y se niega a iniciar con dicha configuración a menos que esta aplicación se deshabilite explícitamente, p. ej., a través de --insecure-skip-secure-default-rule-enforcement o la bandera más amplia --insecure. Este problema ha sido solucionado en la versión 0.17.11.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en pyLoad (CVE-2026-32808)
Fecha de publicación:
20/03/2026
Idioma:
Español
pyLoad es un gestor de descargas gratuito y de código abierto escrito en Python. Las versiones anteriores a 0.5.0b3.dev97 son vulnerables a salto de ruta durante la verificación de contraseña de ciertos archivos 7z cifrados (archivos cifrados con encabezados no cifrados), causando la eliminación arbitraria de archivos fuera del directorio de extracción. Durante la verificación de contraseña, pyLoad deriva un nombre de entrada de archivo de la salida de listado de 7z y lo trata como una ruta del sistema de archivos sin restringirlo al directorio de extracción. Este problema ha sido corregido en la versión 0.5.0b3.dev97.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en pydicom (CVE-2026-32711)
Fecha de publicación:
20/03/2026
Idioma:
Español
pydicom es un paquete de Python puro para trabajar con archivos DICOM. Las versiones 2.0.0-rc.1 hasta la 3.0.1 son vulnerables a salto de ruta a través de un ReferencedFileID de DICOMDIR creado maliciosamente cuando se establece a una ruta fuera de la raíz del conjunto de archivos. pydicom resuelve la ruta solo para confirmar que existe, pero no verifica que la ruta resuelta permanezca bajo la raíz del conjunto de archivos. Las operaciones públicas posteriores de FileSet, como copy(), write() y remove()+write(use_existing=True), usan esa ruta no verificada en operaciones de E/S de archivos. Esto permite la lectura/copia arbitraria de archivos y, en algunos flujos, mover/eliminar fuera de la raíz del conjunto de archivos. Este problema ha sido solucionado en la versión 3.0.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en lz4_flex (CVE-2026-32829)
Fecha de publicación:
20/03/2026
Idioma:
Español
lz4_flex es una implementación pura en Rust de compresión/descompresión LZ4. En las versiones 0.11.5 e inferiores, y 0.12.0, la descompresión de datos LZ4 no válidos puede filtrar información sensible de memoria no inicializada o de operaciones de descompresión anteriores. La biblioteca no valida correctamente los valores de desplazamiento durante las 'operaciones de copia de coincidencia' de LZ4, permitiendo lecturas fuera de límites del búfer de salida. Las funciones API basadas en bloques ('decompress_into', 'decompress_into_with_dict', y otras cuando 'safe-decode' está deshabilitado) se ven afectadas, mientras que todas las API de trama no se ven afectadas. El impacto es la exposición potencial de datos sensibles y secretos a través de entradas LZ4 manipuladas o malformadas. Este problema ha sido solucionado en las versiones 0.11.6 y 0.12.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en Kargo (CVE-2026-32828)
Fecha de publicación:
20/03/2026
Idioma:
Español
Kargo gestiona y automatiza la promoción de artefactos de software. En las versiones 1.4.0 a 1.6.3, 1.7.0-rc.1 a 1.7.8, 1.8.0-rc.1 a 1.8.11, y 1.9.0-rc.1 a 1.9.4, los pasos de promoción http y http-download permiten la falsificación de petición del lado del servidor (SSRF) contra direcciones link-local, más críticamente el endpoint de metadatos de instancia en la nube (169.254.169.254), permitiendo la exfiltración de datos sensibles como credenciales IAM. Estos pasos proporcionan control total sobre los encabezados y métodos de las peticiones, haciendo ineficaces las mitigaciones de SSRF basadas en encabezados de los proveedores de la nube. Un atacante autenticado con permisos para crear/actualizar Stages o elaborar recursos de Promotion puede explotar esto enviando un manifiesto de Promotion malicioso, con datos de respuesta recuperables a través de campos de estado de Promotion, repositorios Git, o un segundo paso http. Este problema ha sido solucionado en las versiones 1.6.4, 1.7.9, 1.8.12 y 1.9.5.
Gravedad CVSS v4.0: BAJA
Última modificación:
30/03/2026

Vulnerabilidad en Fullchain (CVE-2026-32769)
Fecha de publicación:
20/03/2026
Idioma:
Español
Fullchain es un proyecto paraguas para desplegar una plataforma CTF lista para usar. En versiones anteriores a la 0.1.1, debido a una NetworkPolicy mal escrita, un actor malicioso puede pivotar desde una aplicación subvertida a cualquier Pod fuera del espacio de nombres de origen. La NetworkPolicy inter-ns defectuosa rompe la propiedad de seguridad por defecto esperada como parte del programa de despliegue, lo que lleva a un posible movimiento lateral. Este problema ha sido solucionado en la versión 0.1.1. Como solución alternativa, elimine la NetworkPolicy fallida que debería tener el prefijo inter-ns- en el espacio de nombres de destino.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026
Suscribirse a Vulnerabilidades