Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Hue Bridge de Philips (CVE-2026-3555)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montículo en el gestor de comandos personalizado de la pila Zigbee de Philips Hue Bridge. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de Philips Hue Bridge. Se requiere interacción del usuario para explotar esta vulnerabilidad, ya que el usuario debe iniciar el proceso de emparejamiento del dispositivo.<br /> <br /> La falla específica existe dentro del manejo de tramas Zigbee ZCL personalizadas en la funcionalidad de descarga de información del modelo. El problema resulta de la falta de validación adecuada del tamaño de los datos antes de copiarlos a un búfer de montículo de tamaño fijo. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del dispositivo. Fue ZDI-CAN-28276.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Hue Bridge de Philips (CVE-2026-3556)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montículo en el Pair-Setup de HomeKit de Philips Hue Bridge. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de Philips Hue Bridge. La autenticación no es necesaria para explotar esta vulnerabilidad.<br /> <br /> La falla específica existe dentro de la función hk_hap_pair_storage_put. El problema se debe a la falta de validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer de longitud fija basado en montículo. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del servicio HomeKit. Fue ZDI-CAN-28326.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Hue Bridge de Philips (CVE-2026-3557)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montículo en el análisis de Sub-TLV de hap_pair_verify_handler de Philips Hue Bridge. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de Philips Hue Bridge. Aunque se requiere autenticación para explotar esta vulnerabilidad, el mecanismo de autenticación existente puede ser eludido.<br /> <br /> La falla específica existe dentro de la función hap_pair_verify_handler del servicio hk_hap, que escucha en el puerto TCP 8080 por defecto. El problema resulta de la falta de validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en montículo. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Fue ZDI-CAN-28337.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Hue Bridge de Philips (CVE-2026-3558)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de omisión de autenticación en el modo de emparejamiento transitorio del Protocolo de Accesorios HomeKit de Philips Hue Bridge. Esta vulnerabilidad permite a atacantes adyacentes a la red omitir la autenticación en instalaciones afectadas de Philips Hue Bridge. La autenticación no es necesaria para explotar esta vulnerabilidad.<br /> <br /> La falla específica existe dentro de la configuración del servicio del Protocolo de Accesorios HomeKit, que escucha en el puerto TCP 8080 por defecto. El problema resulta de la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante puede aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Fue ZDI-CAN-28374.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Campus de Educativa (CVE-2026-3111)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de Referencia Directa Insegura a Objeto (IDOR) en Campus Educativa específicamente en el endpoint &amp;#39;/archivos/usuarios/[ID]/[username]/thumb_AAxAA.jpg&amp;#39; (traducido como 80x90 y 40x45). La explotación exitosa de esta vulnerabilidad podría permitir a un atacante no autenticado acceder a las fotos de perfil de todos los usuarios a través de una URL manipulada, lo que les permitiría recopilar fotos de usuarios masivamente. Esto podría llevar a que estas fotos sean utilizadas maliciosamente para suplantar identidades, realizar ingeniería social, vincular identidades entre plataformas utilizando reconocimiento facial, o incluso llevar a cabo doxxing.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en TP-Link Systems Inc. (CVE-2026-3227)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos fue identificada en TP-Link TL-WR802N v4, TL-WR841N v14 y TL-WR840N v6 debido a la neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo. La función de importación de configuración del router permite a un atacante autenticado cargar un archivo de configuración manipulado que resulta en la ejecución de comandos del sistema operativo con privilegios de root durante el procesamiento de activación de puertos. La explotación exitosa permite a un atacante autenticado ejecutar comandos del sistema con privilegios de root, lo que lleva a un compromiso total del dispositivo.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en Binutils: gnu binutils: information disclosure via specially crafted xcoff object file (CVE-2026-3441)
Fecha de publicación:
16/03/2026
Idioma:
Español
Se encontró una falla en GNU Binutils. Esta vulnerabilidad de desbordamiento de búfer basado en montículo, específicamente una lectura fuera de límites en el enlazador bfd, permite a un atacante obtener acceso a información sensible. Al convencer a un usuario de procesar un archivo objeto XCOFF especialmente diseñado, un atacante puede activar esta falla, lo que podría llevar a la revelación de información o a una denegación de servicio a nivel de aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Red Hat (CVE-2026-3442)
Fecha de publicación:
16/03/2026
Idioma:
Español
Se encontró una falla en GNU Binutils. Esta vulnerabilidad, un desbordamiento de búfer basado en montículo, específicamente una lectura fuera de límites, existe en el componente enlazador bfd. Un atacante podría explotar esto al convencer a un usuario de procesar un archivo objeto XCOFF malicioso especialmente diseñado. La explotación exitosa podría llevar a la divulgación de información sensible o causar que la aplicación falle, lo que resultaría en una denegación de servicio a nivel de aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en GStreamer (CVE-2026-3086)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por escritura fuera de límites en el analizador de códec H.266 de GStreamer. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere interacción con esta biblioteca para explotar esta vulnerabilidad, pero los vectores de ataque pueden variar dependiendo de la implementación.<br /> <br /> La falla específica existe en el procesamiento de unidades APS. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-28911.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2026-3085)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montículo en GStreamer rtpqdm2depay. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. La interacción con esta biblioteca es necesaria para explotar esta vulnerabilidad, pero los vectores de ataque pueden variar dependiendo de la implementación.<br /> <br /> La falla específica existe en el procesamiento de cargas útiles RTP X-QDM. El problema resulta de la falta de validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en montículo. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-28851.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2026-3084)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por desbordamiento negativo de enteros en el analizador de códec H.266 de GStreamer. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere interacción con esta biblioteca para explotar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación.<br /> <br /> La falla específica existe en el análisis de las particiones de imagen. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en un desbordamiento negativo de enteros antes de escribir en la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-28910.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2026-3083)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por escritura fuera de límites en GStreamer rtpqdm2depay. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere interacción con esta biblioteca para explotar esta vulnerabilidad, pero los vectores de ataque pueden variar dependiendo de la implementación.<br /> <br /> La falla específica existe en el procesamiento de los elementos de carga útil RTP X-QDM. Al analizar el elemento &amp;#39;packetid&amp;#39;, el proceso no valida correctamente los datos proporcionados por el usuario, lo que puede resultar en una escritura más allá del final de un array asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-28850.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026
Suscribirse a Vulnerabilidades