Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en htslib de samtools (CVE-2026-31965)
Fecha de publicación:
18/03/2026
Idioma:
Español
HTSlib es una biblioteca para leer y escribir formatos de archivo bioinformáticos. CRAM es un formato comprimido que almacena datos de alineación de secuencias de ADN. En la función 'cram_decode_slice()' llamada al leer registros CRAM, la validación del campo de ID de referencia ocurrió demasiado tarde, permitiendo que ocurrieran dos lecturas fuera de límites antes de que se detectaran los datos no válidos. El error permite que se filtren dos valores al llamador, sin embargo, como la función informa un error, puede ser difícil explotarlos. También es posible que el programa falle debido a que intenta acceder a memoria no válida. Las versiones 1.23.1, 1.22.2 y 1.21.1 incluyen correcciones para este problema. No hay una solución alternativa para este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en Microsoft Dynamics 365 Customer Engagement (on-premises) (CVE-2025-58112)
Fecha de publicación:
18/03/2026
Idioma:
Español
Microsoft Dynamics 365 Customer Engagement (local) 1612 (9.0.2.3034) permite la generación de informes personalizados a través de consultas SQL sin procesar en una carga de un archivo .rdl (Report Definition Language); esto es luego procesado por el SQL Server Reporting Service. Una cuenta con el privilegio Agregar informes de Reporting Services puede cargar un archivo rdl malicioso. Si el archivo rdl malicioso ya está cargado y es ejecutable por el usuario, el privilegio Agregar informes de Reporting Services no es necesario. Un actor malicioso puede desencadenar la generación del informe, causando la ejecución de comandos SQL arbitrarios en la base de datos subyacente. Dependiendo de los permisos de la cuenta que ejecuta SQL Server Reporting Services, el atacante puede ser capaz de realizar acciones adicionales, como acceder a servidores vinculados o ejecutar comandos del sistema operativo.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en glances de nicolargo (CVE-2026-32634)
Fecha de publicación:
18/03/2026
Idioma:
Español
Glances es una herramienta de monitoreo de sistema de código abierto multiplataforma. Antes de la versión 4.5.2, en modo Navegador Central, Glances almacena tanto el nombre del servidor anunciado por Zeroconf como la dirección IP descubierta para servidores dinámicos, pero luego construye URIs de conexión a partir del nombre anunciado no confiable en lugar de la IP descubierta. Cuando un servidor dinámico se reporta como protegido, Glances también usa ese mismo nombre no confiable como clave de búsqueda para contraseñas guardadas y la credencial global '[passwords] default'. Un atacante en la misma red local puede anunciar un servicio Glances falso a través de Zeroconf y hacer que el navegador envíe automáticamente un secreto de autenticación de Glances reutilizable a un host controlado por el atacante. Esto afecta la ruta de sondeo en segundo plano y la ruta de clic de REST/WebUI en modo Navegador Central. La versión 4.5.2 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en WiFi Extender WDR201A (CVE-2026-30704)
Fecha de publicación:
18/03/2026
Idioma:
Español
El extensor WiFi WDR201A (HW V2.1, FW LFMZX28040922V1.02) expone una interfaz UART desprotegida a través de pads de hardware accesibles en la PCB.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/03/2026

Vulnerabilidad en htslib de samtools (CVE-2026-31962)
Fecha de publicación:
18/03/2026
Idioma:
Español
HTSlib es una biblioteca para leer y escribir formatos de archivo bioinformáticos. CRAM es un formato comprimido que almacena datos de alineación de secuencias de ADN. Si bien la mayoría de los registros de alineación almacenan valores de secuencia de ADN y de calidad, el formato también permite omitir estos datos en ciertos casos para ahorrar espacio. Debido a algunas peculiaridades del formato CRAM, es necesario manejar estos registros con cuidado, ya que en realidad almacenarán datos que deben ser consumidos y luego descartados. Desafortunadamente, `cram_decode_seq()` no manejó esto correctamente en algunos casos. Donde esto ocurrió, podría resultar en la lectura de un solo byte más allá del final de una asignación de montón, seguido de la escritura de un solo byte controlado por el atacante en la misma ubicación. Explotar este error causa un desbordamiento de búfer de montón. Si un usuario abre un archivo diseñado para explotar este problema, podría provocar el bloqueo del programa o la sobrescritura de datos y estructuras de montón de formas no esperadas por el programa. Podría ser posible usar esto para obtener ejecución de código arbitrario. Las versiones 1.23.1, 1.22.2 y 1.21.1 incluyen correcciones para este problema. No hay una solución alternativa para este problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en glances de nicolargo (CVE-2026-32611)
Fecha de publicación:
18/03/2026
Idioma:
Español
Glances es una herramienta de monitoreo de sistema multiplataforma de código abierto. La corrección GHSA-x46r (commit 39161f0) abordó la inyección SQL en el módulo de exportación de TimescaleDB al convertir todas las operaciones SQL para usar consultas parametrizadas y objetos componibles psycopg.sql. Sin embargo, el módulo de exportación de DuckDB (glances/exports/glances_duckdb/__init__.py) no fue incluido en esta corrección y contiene la misma clase de vulnerabilidad: los nombres de tabla y los nombres de columna derivados de las estadísticas de monitoreo se interpolan directamente en las sentencias SQL a través de f-strings. Si bien los valores INSERT de DuckDB ya usan consultas parametrizadas (marcadores de posición ?), la construcción DDL y las referencias a nombres de tabla no escapan ni parametrizan los nombres de identificador. La versión 4.5.3 proporciona una corrección más completa.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en glances de nicolargo (CVE-2026-32632)
Fecha de publicación:
18/03/2026
Idioma:
Español
Glances es una herramienta de monitoreo de sistema de código abierto multiplataforma. Glances añadió recientemente protección contra DNS rebinding para el endpoint MCP, pero antes de la versión 4.5.2, la aplicación principal FastAPI REST/WebUI todavía acepta encabezados 'Host' arbitrarios y no aplica 'TrustedHostMiddleware' o una lista de permitidos de host equivalente. Como resultado, la API REST, la WebUI y el endpoint de token permanecen accesibles a través de dominios controlados por el atacante en escenarios clásicos de DNS rebinding. Una vez que el navegador víctima ha reasociado el dominio del atacante al servicio Glances, la política de mismo origen ya no protege la API porque el navegador considera que el dominio de reasociación es el origen. Este es un problema distinto de la debilidad CORS predeterminada reportada anteriormente. CORS no es necesario para la explotación aquí porque el DNS rebinding hace que el navegador víctima trate el dominio malicioso como de mismo origen con el objetivo de rebinding. La versión 4.5.2 contiene un parche para el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en glances de nicolargo (CVE-2026-32633)
Fecha de publicación:
18/03/2026
Idioma:
Español
Glances es una herramienta de monitoreo de sistema de código abierto multiplataforma. Antes de la versión 4.5.2, en modo Navegador Central, el endpoint `/api/4/serverslist` devuelve objetos de servidor sin procesar de `GlancesServersList.get_servers_list()`. Esos objetos son mutados in situ durante el sondeo en segundo plano y pueden contener un campo `uri` con credenciales HTTP Basic incrustadas para servidores Glances descendentes, utilizando el secreto de autenticación de Glances derivado de pbkdf2 reutilizable. Si la instancia frontal de Navegador/API de Glances se inicia sin `--password`, lo cual es compatible y común para implementaciones de red internas, `/api/4/serverslist` no está completamente autenticado. Cualquier usuario de red que pueda alcanzar la API del Navegador puede recuperar credenciales reutilizables para servidores Glances descendentes protegidos una vez que hayan sido sondeados por la instancia del navegador. La versión 4.5.2 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/03/2026

Vulnerabilidad en VirtualHost de aaPanel (CVE-2026-29856)
Fecha de publicación:
18/03/2026
Idioma:
Español
Un problema en el componente de manejo/analizador de configuración de VirtualHost de aaPanel v7.57.0 permite a los atacantes causar una Denegación de Servicio por Expresiones Regulares (ReDoS) a través de una entrada manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en aaPanel (CVE-2026-29858)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una falta de validación de rutas en aaPanel v7.57.0 permite a los atacantes ejecutar una inclusión local de ficheros (LFI), lo que lleva a la exposición de información sensible.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en aaPanel (CVE-2026-29859)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una vulnerabilidad de carga arbitraria de archivos en aaPanel v7.57.0 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo manipulado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/03/2026

Vulnerabilidad en widget NotChatbot WebChat (CVE-2026-30048)
Fecha de publicación:
18/03/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) almacenado existe en el widget NotChatbot WebChat hasta la versión 1.4.4. La entrada proporcionada por el usuario no se sanitiza correctamente antes de ser almacenada y renderizada en el historial de conversación del chat. Esto permite a un atacante inyectar código JavaScript arbitrario que se ejecuta cuando se recarga el historial del chat. El problema es reproducible en múltiples implementaciones independientes del widget, lo que indica que la vulnerabilidad reside en el producto mismo en lugar de en una configuración específica del sitio web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026
Suscribirse a Vulnerabilidades