Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenClaw (CVE-2026-29607)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.22 contienen una vulnerabilidad de omisión de autorización en la persistencia del *wrapper* allow-always que permite a los atacantes omitir las comprobaciones de aprobación al persistir entradas de la lista de permitidos a nivel de *wrapper* en lugar de validar la intención del ejecutable interno. Los atacantes remotos pueden aprobar comandos *system.run* envueltos benignos y posteriormente ejecutar diferentes cargas útiles sin aprobación, lo que permite la ejecución remota de código en los flujos de ejecución de *gateway* y *node-host*.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-27670)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.3.2 contienen una vulnerabilidad de condición de carrera en la extracción de archivos ZIP que permite a atacantes locales escribir archivos fuera del directorio de destino previsto. Los atacantes pueden explotar una condición de carrera de tipo 'tiempo de verificación, tiempo de uso' entre la validación de rutas y las operaciones de escritura de archivos al reasignar enlaces simbólicos de directorios padre para redirigir las escrituras fuera de la raíz de extracción.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28461)
Fecha de publicación:
19/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a la 2026.3.1 contienen una vulnerabilidad de crecimiento de memoria ilimitado en el endpoint de webhook de Zalo que permite a atacantes no autenticados desencadenar la acumulación de claves en memoria al variar las cadenas de consulta. Atacantes remotos pueden explotar esto al enviar solicitudes repetidas con diferentes parámetros de consulta para causar presión en la memoria, inestabilidad del proceso o condiciones de falta de memoria que degradan la disponibilidad del servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28449)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.25 carecen de un estado de reproducción duradero para los eventos de webhook de Nextcloud Talk, lo que permite que las solicitudes de webhook firmadas válidas se reproduzcan sin supresión. Los atacantes pueden capturar y reproducir solicitudes de webhook firmadas previamente válidas para desencadenar el procesamiento duplicado de mensajes entrantes y causar problemas de integridad o disponibilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28460)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.22 contienen una vulnerabilidad de omisión de lista de permitidos en system.run que permite a los atacantes ejecutar comandos no incluidos en la lista de permitidos dividiendo la sustitución de comandos mediante caracteres de continuación de línea de shell. Los atacantes pueden eludir el análisis de seguridad inyectando $\\ seguido de un salto de línea y un paréntesis de apertura dentro de comillas dobles, haciendo que el shell pliegue la continuación de línea en una sustitución de comandos ejecutable que elude los límites de aprobación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-22176)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.19 contienen una vulnerabilidad de inyección de comandos en la generación de scripts de Tareas Programadas de Windows, donde las variables de entorno se escriben en gateway.cmd utilizando asignaciones set KEY=VALUE sin comillas, permitiendo que los metacaracteres de shell escapen del contexto de asignación. Los atacantes pueden inyectar comandos arbitrarios a través de valores de variables de entorno que contengan metacaracteres como &, |, ^, %, o ! para lograr la ejecución de comandos cuando el script de la tarea programada se genera y ejecuta.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-27566)
Fecha de publicación:
19/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.22 contienen una vulnerabilidad de omisión de lista de permitidos en el análisis de ejecución de system.run que no logra desenvolver las cadenas de envoltura de env y shell-dispatch. Los atacantes pueden enrutar la ejecución a través de binarios de envoltura como env bash para introducir cargas útiles que satisfacen las entradas de la lista de permitidos mientras ejecutan comandos no permitidos.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en kan de kanbn (CVE-2026-32255)
Fecha de publicación:
19/03/2026
Idioma:
Español
Kan es una herramienta de gestión de proyectos de código abierto. En las versiones 0.5.4 e inferiores, el endpoint /api/download/attatchment no tiene autenticación ni validación de URL. El endpoint de descarga de adjuntos acepta un parámetro de consulta de URL proporcionado por el usuario y lo pasa directamente a fetch() en el lado del servidor, y devuelve el cuerpo completo de la respuesta. Un atacante no autenticado puede usar esto para realizar solicitudes HTTP desde el servidor a servicios internos, endpoints de metadatos en la nube o recursos de red privados. Este problema ha sido solucionado en la versión 0.5.5. Para solucionar este problema, bloquee o restrinja el acceso a /api/download/attatchment a nivel de proxy inverso (nginx, Cloudflare, etc.).
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en PX4-Autopilot (CVE-2026-32743)
Fecha de publicación:
19/03/2026
Idioma:
Español
PX4 es una pila de piloto automático de código abierto para drones y vehículos no tripulados. Las versiones 1.17.0-rc2 e inferiores son vulnerables a un desbordamiento de búfer basado en pila a través del MavlinkLogHandler, y se activan mediante una solicitud de registro MAVLink. El búfer LogEntry.filepath es de 60 bytes, pero la función sscanf analiza rutas del archivo de lista de registros sin un especificador de ancho, permitiendo que una ruta de más de 60 caracteres desborde el búfer. Un atacante con acceso al enlace MAVLink puede activar esto creando primero directorios profundamente anidados a través de MAVLink FTP, y luego solicitando la lista de registros. La tarea MAVLink del controlador de vuelo falla, perdiendo la capacidad de telemetría y comando y causando DoS. Este problema ha sido solucionado en este commit: https://github.com/PX4/PX4-Autopilot/commit/616b25a280e229c24d5cf12a03dbf248df89c474.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026

CVE-2026-3181
Fecha de publicación:
18/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
18/03/2026

Vulnerabilidad en Romeo (CVE-2026-32805)
Fecha de publicación:
18/03/2026
Idioma:
Español
Romeo permite alcanzar una alta cobertura de código en aplicaciones Go ?1.20, ya que ayuda a medir la cobertura de código en pruebas funcionales y de integración dentro de GitHub Actions. Antes de la versión 0.2.2, la función `sanitizeArchivePath` en `webserver/api/v1/decoder.go` (líneas 80-88) era vulnerable a un bypass de recorrido de ruta debido a la falta de un separador de ruta final en la comprobación `strings.HasPrefix`. Un archivo tar malicioso podía escribir archivos fuera del directorio de destino previsto. La versión 0.2.2 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en romeo de ctfer-io (CVE-2026-32737)
Fecha de publicación:
18/03/2026
Idioma:
Español
Romeo proporciona la capacidad de alcanzar una alta cobertura de código de aplicaciones Go ?1.20 al ayudar a medir la cobertura de código para pruebas funcionales y de integración dentro de GitHub Actions. Antes de la versión 0.2.1, debido a una NetworkPolicy mal escrita, un actor malicioso puede pivotar desde el espacio de nombres 'hardened' a cualquier Pod fuera de este. Esto rompe la propiedad de seguridad por defecto esperada como parte del programa de despliegue, lo que lleva a un posible movimiento lateral. Eliminar la NetworkPolicy 'inter-ns' corrige la vulnerabilidad en la versión 0.2.1. Si las actualizaciones no son posibles en entornos de producción, elimine manualmente 'inter-ns' y actualice lo antes posible. Dado el contexto de cada uno, elimine la política de red fallida que debería tener el prefijo 'inter-ns-' en el espacio de nombres de destino.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026
Suscribirse a Vulnerabilidades