Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en node de nodejs (CVE-2026-21714)
Fecha de publicación:
30/03/2026
Idioma:
Español
Se produce una fuga de memoria en servidores HTTP/2 de Node.js cuando un cliente envía tramas WINDOW_UPDATE en el flujo 0 (a nivel de conexión) que hacen que la ventana de control de flujo exceda el valor máximo de 2³¹-1. El servidor envía correctamente una trama GOAWAY, pero el objeto Http2Session nunca se limpia.<br /> <br /> Esta vulnerabilidad afecta a los usuarios de HTTP2 en Node.js 20, 22, 24 y 25.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en node de nodejs (CVE-2026-21716)
Fecha de publicación:
30/03/2026
Idioma:
Español
Una solución incompleta para CVE-2024-36137 deja `FileHandle.chmod()` y `FileHandle.chown()` en la API de promesas sin las comprobaciones de permisos requeridas, mientras que sus equivalentes basados en callbacks (`fs.fchmod()`, `fs.fchown()`) fueron parcheados correctamente.<br /> <br /> Como resultado, el código que se ejecuta bajo `--permission` con `--allow-fs-write` restringido aún puede usar métodos `FileHandle` basados en promesas para modificar los permisos y la propiedad de los archivos en descriptores de archivo ya abiertos, eludiendo las restricciones de escritura previstas.<br /> <br /> Esta vulnerabilidad afecta a los procesos 20.x, 22.x, 24.x y 25.x que utilizan el Modelo de Permisos donde `--allow-fs-write` está restringido intencionalmente.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/04/2026

Vulnerabilidad en node de nodejs (CVE-2026-21710)
Fecha de publicación:
30/03/2026
Idioma:
Español
Un fallo en el manejo de solicitudes HTTP de Node.js provoca un &amp;#39;TypeError&amp;#39; no capturado cuando se recibe una solicitud con un encabezado llamado &amp;#39;__proto__&amp;#39; y la aplicación accede a &amp;#39;req.headersDistinct&amp;#39;.<br /> <br /> Cuando esto ocurre, &amp;#39;dest["__proto__"]&amp;#39; se resuelve como &amp;#39;Object.prototype&amp;#39; en lugar de &amp;#39;undefined&amp;#39;, lo que provoca que se llame a &amp;#39;.push()&amp;#39; en un no-array. Esta excepción se lanza sincrónicamente dentro de un accesor de propiedad y no puede ser interceptada por los oyentes de eventos &amp;#39;error&amp;#39;, lo que significa que no puede ser manejada sin envolver cada acceso a &amp;#39;req.headersDistinct&amp;#39; en un &amp;#39;try/catch&amp;#39;.<br /> <br /> * Esta vulnerabilidad afecta a todos los servidores HTTP de Node.js en 20.x, 22.x, 24.x y v25.x
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en TrueConf Client de TrueConf (CVE-2026-3502)
Fecha de publicación:
30/03/2026
Idioma:
Español
TrueConf Client descarga código de actualización de la aplicación y lo aplica sin realizar verificación. Un atacante que es capaz de influir en la ruta de entrega de la actualización puede sustituir una carga útil de actualización manipulada. Si la carga útil es ejecutada o instalada por el actualizador, esto puede resultar en ejecución de código arbitrario en el contexto del proceso de actualización o del usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2026

Vulnerabilidad en Data Loss Prevention de Broadcom (CVE-2026-3991)
Fecha de publicación:
30/03/2026
Idioma:
Español
Symantec Data Loss Prevention Windows Endpoint, anterior a 25.1 MP1, 16.1 MP2, 16.0 RU2 HF9, 16.0 RU1 MP1 HF12 y 16.0 MP2 HF15, puede ser susceptible a una vulnerabilidad de Elevación de Privilegios, que es un tipo de problema mediante el cual un atacante puede intentar comprometer la aplicación de software para obtener acceso elevado a recursos que normalmente están protegidos de una aplicación o usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en yudao-cloud de YunaiV (CVE-2026-5147)
Fecha de publicación:
30/03/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido descubierta en YunaiV yudao-cloud hasta 2026.01. Esto afecta una parte desconocida del archivo /admin-api/system/tenant/get-by-website. La manipulación del argumento Website resulta en inyección SQL. Es posible lanzar el ataque remotamente. El exploit ha sido liberado al público y puede ser utilizado para ataques. El proveedor fue contactado con antelación sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en Vim (CVE-2026-34714)
Fecha de publicación:
30/03/2026
Idioma:
Español
Vim anterior a la versión 9.2.0272 permite la ejecución de código que ocurre inmediatamente al abrir un archivo especialmente diseñado en la configuración predeterminada, porque se produce una inyección de %{expr} con tabpanel que carece de P_MLE.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/04/2026

Vulnerabilidad en Invoice Ninja (CVE-2026-29925)
Fecha de publicación:
30/03/2026
Idioma:
Español
Invoice Ninja v5.12.46 y v5.12.48 es vulnerable a falsificación de petición del lado del servidor (SSRF) en CheckDatabaseRequest.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en Grav CMS (CVE-2026-29924)
Fecha de publicación:
30/03/2026
Idioma:
Español
Grav CMS v1.7.x y anteriores es vulnerable a entidad externa XML (XXE) a través de la funcionalidad de carga de archivos SVG en el panel de administración y el plugin File Manager.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/04/2026

Vulnerabilidad en consult-llm-mcp de raine (CVE-2026-5125)
Fecha de publicación:
30/03/2026
Idioma:
Español
Una vulnerabilidad fue detectada en raine consult-llm-mcp hasta 2.5.3. Afectada por esta vulnerabilidad es la función child_process.execSync del archivo src/server.ts. La manipulación del argumento git_diff.base_ref/git_diff.files resulta en inyección de comandos del sistema operativo. El ataque solo es posible con acceso local. El exploit ahora es público y puede ser utilizado. La actualización a la versión 2.5.4 soluciona este problema. El parche se identifica como 4abf297b34e5e8a9cb364b35f52c5f0ca1d599d3. Se recomienda actualizar el componente afectado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en RSS Feed Parser de SourceCodester (CVE-2026-5126)
Fecha de publicación:
30/03/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en SourceCodester RSS Feed Parser 1.0. Este problema afecta a la función file_get_contents. Esta manipulación provoca falsificación de petición del lado del servidor. El ataque puede llevarse a cabo remotamente. El exploit ha sido publicado y puede utilizarse.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en nginx-ui de 0xJacky (CVE-2026-33029)
Fecha de publicación:
30/03/2026
Idioma:
Español
Nginx UI es una interfaz de usuario web para el servidor web Nginx. Antes de la versión 2.3.4, una vulnerabilidad de validación de entrada en la configuración de logrotate permite a un usuario autenticado causar una completa denegación de servicio (DoS). Al enviar un número entero negativo para el intervalo de rotación, el backend entra en un bucle infinito o un estado no válido, lo que hace que la interfaz web no responda. Este problema se ha corregido en la versión 2.3.4.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/04/2026
Suscribirse a Vulnerabilidades