Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en NGINX Plus y NGINX Open Source de F5 (CVE-2026-28753)
Fecha de publicación:
24/03/2026
Idioma:
Español
NGINX Plus y NGINX Open Source tienen una vulnerabilidad en el módulo ngx_mail_smtp_module debido al manejo inadecuado de secuencias CRLF en las respuestas DNS. Esto permite a un servidor DNS controlado por el atacante inyectar encabezados arbitrarios en las solicitudes upstream SMTP, lo que lleva a una posible manipulación de solicitudes. Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en NGINX Open Source y NGINX Plus de F5 (CVE-2026-27654)
Fecha de publicación:
24/03/2026
Idioma:
Español
NGINX Open Source y NGINX Plus tienen una vulnerabilidad en el módulo ngx_http_dav_module que podría permitir a un atacante desencadenar un desbordamiento de búfer en el proceso de trabajador de NGINX; esta vulnerabilidad puede resultar en la terminación del proceso de trabajador de NGINX o la modificación de nombres de archivos de origen o destino fuera del directorio raíz de documentos. Este problema afecta a NGINX Open Source y NGINX Plus cuando el archivo de configuración utiliza los métodos MOVE o COPY del módulo DAV, ubicación de prefijo (configuración de ubicación sin expresión regular) y directivas alias. El impacto en la integridad está restringido porque el usuario del proceso de trabajador de NGINX tiene privilegios bajos y no tiene acceso a todo el sistema. Nota: Las versiones de software que han alcanzado el Fin del Soporte Técnico (EoTS) no son evaluadas.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en NGINX Open Source y NGINX de F5 (CVE-2026-27651)
Fecha de publicación:
24/03/2026
Idioma:
Español
Cuando el módulo ngx_mail_auth_http_module está habilitado en NGINX Plus o NGINX Open Source, las solicitudes no reveladas pueden causar la terminación de los procesos de trabajador. Este problema puede ocurrir cuando (1) la autenticación CRAM-MD5 o APOP está habilitada, y (2) el servidor de autenticación permite reintentar al devolver el encabezado de respuesta Auth-Wait. Nota: Las versiones de software que han alcanzado el Fin del Soporte Técnico (EoTS) no son evaluadas.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en intake (CVE-2026-33310)
Fecha de publicación:
24/03/2026
Idioma:
Español
Intake es un paquete para encontrar, investigar, cargar y difundir datos. Antes de la versión 2.0.9, la sintaxis shell() dentro de los valores predeterminados de los parámetros parece expandirse automáticamente durante el proceso de análisis del catálogo. Si un catálogo contiene un valor predeterminado de parámetro como shell(), el comando puede ejecutarse cuando se accede a la fuente del catálogo. Esto significa que si un usuario carga un YAML de catálogo malicioso, los comandos incrustados podrían ejecutarse en el sistema anfitrión. La versión 2.0.9 mitiga el problema al establecer getshell en False por defecto en todas partes.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en dicebear (CVE-2026-33311)
Fecha de publicación:
24/03/2026
Idioma:
Español
DiceBear es una biblioteca de avatares para diseñadores y desarrolladores. A partir de la versión 5.0.0 y antes de las versiones 5.4.4, 6.1.4, 7.1.4, 8.0.3 y 9.4.1, los valores de atributos SVG derivados de opciones proporcionadas por el usuario ('backgroundColor', 'fontFamily', 'textColor') no se escapaban en XML antes de la interpolación en la salida SVG. Esto podría permitir cross-site scripting (XSS) cuando las aplicaciones pasan entrada no confiable a createAvatar() y sirven el SVG resultante en línea o con Content-Type: image/svg+xml. A partir de las versiones 5.4.4, 6.1.4, 7.1.4, 8.0.3 y 9.4.1, todos los valores de atributos SVG afectados se escapan correctamente utilizando la codificación de entidades XML. Los usuarios deben actualizar a las versiones parcheadas listadas. Algunos factores mitigantes limitan la vulnerabilidad. Las aplicaciones que validan la entrada contra el esquema JSON de la biblioteca antes de pasarla a createAvatar() no se ven afectadas. La CLI de DiceBear valida la entrada a través de AJV y no era vulnerable. La explotación requiere que una aplicación pase entrada externa no confiable y no validada directamente como valores de opción.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en dicebear (CVE-2026-33418)
Fecha de publicación:
24/03/2026
Idioma:
Español
DiceBear es una biblioteca de avatares para diseñadores y desarrolladores. Antes de la versión 9.4.2, la función `ensureSize()` en `@dicebear/converter` utilizaba un enfoque basado en expresiones regulares para reescribir los atributos SVG `width`/`height`, limitándolos a 2048px para prevenir la denegación de servicio. Esta limitación de tamaño podía ser eludida creando una entrada SVG que causara que la expresión regular coincidiera con una ocurrencia no funcional de `
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en langflow de langflow-ai (CVE-2026-33484)
Fecha de publicación:
24/03/2026
Idioma:
Español
Langflow es una herramienta para construir y desplegar agentes y flujos de trabajo impulsados por IA. En las versiones 1.0.0 a 1.8.1, el endpoint `/api/v1/files/images/{flow_id}/{file_name}` sirve archivos de imagen sin ninguna autenticación ni verificación de propiedad. Cualquier solicitud no autenticada con un `flow_id` y `file_name` conocidos devuelve la imagen con HTTP 200. En un despliegue multi-inquilino, cualquier atacante que pueda descubrir o adivinar un 'flow_id' (los UUID pueden filtrarse a través de otras respuestas de la API) puede descargar las imágenes subidas por cualquier usuario sin credenciales. La versión 1.9.0 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en langflow de langflow-ai (CVE-2026-33497)
Fecha de publicación:
24/03/2026
Idioma:
Español
Langflow es una herramienta para construir y desplegar agentes y flujos de trabajo impulsados por IA. Antes de la versión 1.7.1, en la función download_profile_picture del endpoint /profile_pictures/{folder_name}/{file_name}, los parámetros folder_name y file_name no se filtran estrictamente, lo que permite leer la secret_key a través de directorios. La versión 1.7.1 contiene un parche.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en Firefox y Thunderbird de Mozilla (CVE-2026-4722)
Fecha de publicación:
24/03/2026
Idioma:
Español
Escalada de privilegios en el componente IPC. Esta vulnerabilidad afecta a Firefox < 149 y Thunderbird < 149.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/04/2026

Vulnerabilidad en Firefox y Thunderbird de Mozilla (CVE-2026-4723)
Fecha de publicación:
24/03/2026
Idioma:
Español
Uso después de liberación en el componente del motor JavaScript. Esta vulnerabilidad afecta a Firefox < 149 y Thunderbird < 149.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/04/2026

Vulnerabilidad en Firefox y Thunderbird de Mozilla (CVE-2026-4724)
Fecha de publicación:
24/03/2026
Idioma:
Español
Comportamiento indefinido en el componente de Audio/Video. Esta vulnerabilidad afecta a Firefox < 149 y Thunderbird < 149.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/04/2026

Vulnerabilidad en Firefox y Thunderbird de Mozilla (CVE-2026-4725)
Fecha de publicación:
24/03/2026
Idioma:
Español
Escape de sandbox debido a uso después de liberación en el componente Graphics: Canvas2D. Esta vulnerabilidad afecta a Firefox < 149 y Thunderbird < 149.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/04/2026
Suscribirse a Vulnerabilidades