Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en MongoDB C Driver (CVE-2026-4359)
Fecha de publicación:
17/03/2026
Idioma:
Español
Un servidor en la nube de terceros comprometido o un atacante man-in-the-middle podría enviar una respuesta HTTP malformada y causar un fallo en las aplicaciones que utilizan el controlador C de MongoDB.
Gravedad CVSS v4.0: BAJA
Última modificación:
18/03/2026

Vulnerabilidad en Kiro IDE de AWS (CVE-2026-4295)
Fecha de publicación:
17/03/2026
Idioma:
Español
La aplicación inadecuada de límites de confianza en Kiro IDE antes de la versión 0.8.0 en todas las plataformas compatibles podría permitir a un actor de amenaza remoto no autenticado ejecutar código arbitrario mediante archivos de directorio de proyecto creados maliciosamente que eluden las protecciones de confianza del espacio de trabajo cuando un usuario local abre el directorio.<br /> <br /> Para remediar este problema, los usuarios deben actualizar a la versión 0.8.0 o superior.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en PowerShell Universal de Devolutions (CVE-2026-4064)
Fecha de publicación:
17/03/2026
Idioma:
Español
Faltan comprobaciones de autorización en múltiples puntos finales de servicio gRPC en PowerShell Universal antes de la versión 2026.1.4, lo que permite a un usuario autenticado con cualquier token válido eludir los controles de acceso basados en roles y realizar operaciones privilegiadas — incluyendo la lectura de datos sensibles, la creación o eliminación de recursos, y la interrupción de las operaciones del servicio — mediante solicitudes gRPC manipuladas.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en PowerShell Universal de Devolutions (CVE-2026-3563)
Fecha de publicación:
17/03/2026
Idioma:
Español
Validación de entrada incorrecta en la configuración de aplicaciones y endpoints en PowerShell Universal anterior a 2026.1.4 permite a un usuario autenticado con permisos para crear o modificar aplicaciones o endpoints anular rutas de aplicación o del sistema existentes, lo que resulta en un enrutamiento de solicitudes no intencionado y denegación de servicio a través de una ruta de URL en conflicto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en Ray de ray-project (CVE-2026-32981)
Fecha de publicación:
17/03/2026
Idioma:
Español
Una vulnerabilidad de salto de ruta fue identificada en Ray Dashboard (puerto predeterminado 8265) en versiones de Ray anteriores a la 2.8.1. Debido a la validación y sanitización inadecuadas de las rutas proporcionadas por el usuario en el mecanismo de manejo de archivos estáticos, un atacante puede usar secuencias de salto (p. ej., ../) para acceder a archivos fuera del directorio estático previsto, lo que resulta en la divulgación de archivos locales.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en miniaudio de mackron (CVE-2026-32837)
Fecha de publicación:
17/03/2026
Idioma:
Español
miniaudio versión 0.11.25 y anteriores contienen una vulnerabilidad de lectura fuera de límites en el heap en el analizador de metadatos BEXT de WAV que permite a los atacantes desencadenar violaciones de acceso a la memoria al procesar archivos WAV manipulados. Los atacantes pueden explotar un manejo inadecuado de la terminación nula en el campo de historial de codificación para causar lecturas fuera de límites más allá del pool de metadatos asignado, lo que resulta en caídas de la aplicación o denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en dr_libs de mackron (CVE-2026-32836)
Fecha de publicación:
17/03/2026
Idioma:
Español
La versión 0.13.3 y anteriores de dr_libs contienen una vulnerabilidad de asignación de memoria incontrolada en drflac__read_and_decode_metadata() que permite a los atacantes activar una asignación de memoria excesiva al proporcionar bloques de metadatos PICTURE manipulados. Los atacantes pueden explotar los campos mimeLength y descriptionLength controlados por el atacante para causar una denegación de servicio a través del agotamiento de la memoria al procesar flujos FLAC con devoluciones de llamada de metadatos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en SpeedExam Online Examination System (SaaS) (CVE-2026-30707)
Fecha de publicación:
17/03/2026
Idioma:
Español
Se descubrió un problema en SpeedExam Online Examination System (SaaS) después de la v.FEV2026. Permite un Control de Acceso Roto a través del PageMethod ASP.NET ReviewAnswerDetails. Atacantes autenticados pueden eludir las restricciones del lado del cliente e invocar este método directamente para recuperar la clave de respuestas completa.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en glpi de glpi-project (CVE-2026-25936)
Fecha de publicación:
17/03/2026
Idioma:
Español
GLPI es un paquete de software gratuito de gestión de activos y TI. A partir de la versión 11.0.0 y antes de la versión 11.0.6, un usuario autenticado puede realizar una inyección SQL. La versión 11.0.6 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en Endpoint DLP Module for Netskope Client de Netskope (CVE-2025-15584)
Fecha de publicación:
17/03/2026
Idioma:
Español
Netskope fue notificado sobre una posible brecha en su Módulo DLP de Endpoint para el Cliente Netskope en sistemas Windows. La explotación exitosa de la brecha puede potencialmente permitir a un usuario sin privilegios desencadenar un desbordamiento de entero dentro del puerto de comunicación del filtro, lo que lleva a una Pantalla Azul de la Muerte (BSOD). La explotación exitosa requeriría que el módulo DLP de Endpoint esté habilitado en la configuración del cliente. Un exploit exitoso puede potencialmente resultar en una denegación de servicio para la máquina local.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en TIBCO BPM Enterprise (CVE-2026-3207)
Fecha de publicación:
17/03/2026
Idioma:
Español
Problema de configuración en Java Management Extensions (JMX) en TIBCO BPM Enterprise versión 4.x permite acceso no autorizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en wazuh (CVE-2026-25771)
Fecha de publicación:
17/03/2026
Idioma:
Español
Wazuh es una plataforma de código abierto y gratuita utilizada para la prevención, detección y respuesta a amenazas. A partir de la versión 4.3.0 y antes de la versión 4.14.3, existe una vulnerabilidad de denegación de servicio (DoS) en el middleware de autenticación de la API de Wazuh (&amp;#39;middlewares.py&amp;#39;). La aplicación utiliza un bucle de eventos asíncrono (Starlette/Asyncio) para llamar a una función síncrona (&amp;#39;generate_keypair&amp;#39;) que realiza operaciones de E/S de disco bloqueantes en cada solicitud que contiene un token Bearer. Un atacante remoto no autenticado puede explotar esto inundando la API con solicitudes que contienen tokens Bearer no válidos. Esto fuerza al bucle de eventos de un solo hilo a pausar repetidamente para operaciones de lectura de archivos, privando a la aplicación de recursos de CPU y potencialmente impidiendo que acepte o procese conexiones legítimas. La versión 4.14.3 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026
Suscribirse a Vulnerabilidades