Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Flare de FlintSH (CVE-2026-30942)
Fecha de publicación:
10/03/2026
Idioma:
Español
Flare es una plataforma de intercambio de archivos autoalojable basada en Next.js que se integra con herramientas de captura de pantalla. Antes de la versión 1.7.3, una vulnerabilidad de salto de ruta autenticado en /api/avatars/[filename] permite a cualquier usuario con sesión iniciada leer archivos arbitrarios desde dentro del contenedor de la aplicación. El parámetro URL filename se pasa a path.join() sin sanitización, y getFileStream() no realiza validación de ruta, lo que permite que las secuencias ../ codificadas con %2F escapen del directorio uploads/avatars/ y lean cualquier archivo accesible para el proceso nextjs bajo /app/. La autenticación es aplicada por el middleware de Next.js. Sin embargo, en instancias con registro abierto habilitado (el valor predeterminado), cualquier atacante puede autorregistrarse y explotar esto inmediatamente. Esta vulnerabilidad está corregida en la versión 1.7.3.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en StudioCMS (CVE-2026-30944)
Fecha de publicación:
10/03/2026
Idioma:
Español
StudioCMS es un sistema de gestión de contenido sin cabeza, nativo de Astro y renderizado en el lado del servidor. Antes de 0.4.0, el endpoint /studiocms_api/dashboard/api-tokens permite a cualquier usuario autenticado (al menos Editor) generar tokens de API para cualquier otro usuario, incluyendo cuentas de propietario y administrador. El endpoint no valida si el usuario solicitante está autorizado para crear tokens en nombre del ID de usuario objetivo, lo que resulta en una escalada de privilegios completa. Esta vulnerabilidad se corrige en 0.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en StudioCMS (CVE-2026-30945)
Fecha de publicación:
10/03/2026
Idioma:
Español
StudioCMS es un sistema de gestión de contenido renderizado en el lado del servidor, nativo de Astro y sin cabeza. Antes de la versión 0.4.0, el endpoint DELETE /studiocms_api/dashboard/api-tokens permite a cualquier usuario autenticado con privilegios de editor o superiores revocar tokens de API pertenecientes a cualquier otro usuario, incluyendo cuentas de administrador y propietario. El gestor acepta tokenID y userID directamente del payload de la solicitud sin verificar la propiedad del token, la identidad del llamador o la jerarquía de roles. Esto permite una denegación de servicio dirigida contra integraciones y automatizaciones críticas. Esta vulnerabilidad está corregida en la versión 0.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en oneuptime de OneUptime (CVE-2026-30958)
Fecha de publicación:
10/03/2026
Idioma:
Español
OneUptime es una solución para monitorear y gestionar servicios en línea. Antes de 10.0.21, un salto de ruta no autenticado en el endpoint /workflow/docs/:componentName permite la lectura de archivos arbitrarios del sistema de archivos del servidor. El parámetro de ruta componentName se concatena directamente en una ruta de archivo pasada a res.sendFile() en orker/FeatureSet/Workflow/Index.ts sin saneamiento ni middleware de autenticación. Esta vulnerabilidad se corrige en 10.0.21.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en oneuptime de OneUptime (CVE-2026-30957)
Fecha de publicación:
10/03/2026
Idioma:
Español
OneUptime es una solución para monitorear y gestionar servicios en línea. Antes de la versión 10.0.21, los Monitores Sintéticos de OneUptime permiten a un usuario de proyecto autenticado con bajos privilegios ejecutar comandos arbitrarios en el servidor/contenedor oneuptime-probe. La causa raíz es que el código no confiable del Monitor Sintético se ejecuta dentro de la vm de Node mientras que objetos de navegador y página de Playwright del reino del host en vivo están expuestos a él. Un usuario malicioso puede llamar a las API de Playwright en el objeto de navegador inyectado y hacer que la sonda genere un ejecutable controlado por el atacante. Este es un problema de ejecución remota de código de lado del servidor. No requiere un escape de sandbox de vm separado. Esta vulnerabilidad está corregida en la versión 10.0.21.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/03/2026

Vulnerabilidad en oneuptime de OneUptime (CVE-2026-30956)
Fecha de publicación:
10/03/2026
Idioma:
Español
OneUptime es una solución para monitorear y gestionar servicios en línea. Antes de la 10.0.21, un usuario con bajos privilegios puede eludir la autorización y el aislamiento de inquilinos en OneUptime v10.0.20 y versiones anteriores enviando un encabezado 'is-multi-tenant-query' falsificado junto con un encabezado 'projectid' controlado. Debido a que el servidor confía en este encabezado proporcionado por el cliente, se omiten las comprobaciones de permisos internas en BasePermission y el alcance de inquilinos se deshabilita. Esto permite a los atacantes acceder a datos de proyectos pertenecientes a otros inquilinos, leer campos de usuario sensibles a través de relaciones anidadas, filtrar el 'resetPasswordToken' en texto plano, y restablecer la contraseña de la víctima y tomar el control total de la cuenta. Esto resulta en exposición de datos entre inquilinos y una toma de control total de la cuenta. Esta vulnerabilidad se corrige en la 10.0.21.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/03/2026

Vulnerabilidad en filebrowser de gtsteffaniak (CVE-2026-30933)
Fecha de publicación:
10/03/2026
Idioma:
Español
FileBrowser Quantum es un gestor de archivos gratuito, autoalojado y basado en web. Antes de 1.3.1-beta y 1.2.2-stable, la remediación para CVE-2026-27611 es incompleta. Las comparticiones protegidas con contraseña aún revelan el downloadURL tokenizado a través de /public/API/share/info. Esta vulnerabilidad está corregida en 1.3.1-beta y 1.2.2-stable.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en filebrowser de gtsteffaniak (CVE-2026-30934)
Fecha de publicación:
10/03/2026
Idioma:
Español
FileBrowser Quantum es un gestor de archivos gratuito, autoalojado y basado en web. Antes de 1.3.1-beta y 1.2.2-stable, es posible un XSS Almacenado a través de campos de metadatos de compartición (p. ej., título, descripción) que se renderizan en HTML para /public/share/ sin escape sensible al contexto. El servidor utiliza text/template en lugar de html/template, permitiendo que los scripts inyectados se ejecuten cuando las víctimas visitan la URL de compartición. Esta vulnerabilidad está corregida en 1.3.1-beta y 1.2.2-stable.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en parse-server (CVE-2026-30941)
Fecha de publicación:
10/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 8.6.14 y 9.5.2-alpha.1, una vulnerabilidad de inyección NoSQL permite a un atacante no autenticado inyectar operadores de consulta de MongoDB a través del campo 'token' en los puntos finales de restablecimiento de contraseña y reenvío de verificación de correo electrónico. El valor del token se pasa a las consultas de la base de datos sin validación de tipo y puede ser utilizado para extraer tokens de restablecimiento de contraseña y verificación de correo electrónico. Cualquier despliegue de Parse Server que utilice MongoDB con la verificación de correo electrónico o el restablecimiento de contraseña habilitados se ve afectado. Cuando 'emailVerifyTokenReuseIfValid' está configurado, el token de verificación de correo electrónico puede ser completamente extraído y utilizado para verificar la dirección de correo electrónico de un usuario sin acceso a la bandeja de entrada. Esta vulnerabilidad está corregida en 8.6.14 y 9.5.2-alpha.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en parse-server (CVE-2026-30939)
Fecha de publicación:
10/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 8.6.13 y 9.5.1-alpha.2, un atacante no autenticado puede bloquear el proceso de Parse Server al llamar a un endpoint de función en la nube con un nombre de propiedad de prototipo como nombre de la función. El servidor entra en recursión infinita, causando un error de tamaño de pila de llamadas que termina el proceso. Otros nombres de propiedades de prototipo eluden la validación de despacho de funciones en la nube y devuelven respuestas HTTP 200, aunque no haya funciones en la nube definidas. Lo mismo se aplica al recorrido por notación de puntos. Todas las implementaciones de Parse Server que exponen el endpoint de función en la nube se ven afectadas. Esta vulnerabilidad está corregida en 8.6.13 y 9.5.1-alpha.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en parse-server (CVE-2026-30938)
Fecha de publicación:
10/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.12 y 9.5.1-alpha.1, el control de seguridad requestKeywordDenylist puede ser eludido al colocar cualquier objeto o array anidado antes de una palabra clave prohibida en la carga útil de la solicitud. Esto es causado por un error de lógica que detiene el escaneo de claves hermanas después de encontrar el primer valor anidado. Cualquier entrada personalizada de requestKeywordDenylist configurada por el desarrollador es igualmente eludible utilizando la misma técnica. Todas las implementaciones de Parse Server están afectadas. El requestKeywordDenylist está habilitado por defecto. Esta vulnerabilidad está corregida en las versiones 8.6.12 y 9.5.1-alpha.1. Utilice un disparador beforeSave de Cloud Code para validar los datos entrantes en busca de palabras clave prohibidas en todas las clases.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en glances de nicolargo (CVE-2026-30928)
Fecha de publicación:
10/03/2026
Idioma:
Español
Glances es una herramienta de monitorización de sistemas multiplataforma de código abierto. Antes de la versión 4.5.1, el endpoint de la API REST /api/4/config devuelve el archivo de configuración de Glances (glances.conf) completo y parseado a través de self.config.as_dict() sin filtrar valores sensibles. El archivo de configuración contiene credenciales para todos los servicios de backend configurados, incluyendo contraseñas de bases de datos, tokens de API, claves de firma JWT y contraseñas de claves SSL. Esta vulnerabilidad está corregida en la versión 4.5.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026
Suscribirse a Vulnerabilidades