Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en F9K1122 de Belkin (CVE-2026-5044)
Fecha de publicación:
29/03/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en Belkin F9K1122 1.00.33. Esto afecta a la función formSetSystemSettings del archivo /goform/formSetSystemSettings del componente Gestor de Configuración. Dicha manipulación del argumento webpage conduce a un desbordamiento de búfer basado en pila. El ataque puede ser ejecutado de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32979)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.11 contiene una vulnerabilidad de integridad de aprobación que permite a los atacantes ejecutar código local reescrito modificando scripts entre la aprobación y la ejecución cuando no puede producirse una vinculación exacta de archivos. Atacantes remotos pueden cambiar scripts locales aprobados antes de la ejecución para lograr una ejecución de código no deseada como el usuario de tiempo de ejecución de OpenClaw.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32980)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.13 lee y almacena en búfer los cuerpos de las solicitudes de webhook de Telegram antes de validar el encabezado x-telegram-bot-API-secret-token, permitiendo a atacantes no autenticados agotar los recursos del servidor. Los atacantes pueden enviar solicitudes POST al punto final del webhook para forzar el consumo de memoria, el tiempo de socket y el trabajo de análisis JSON antes de que ocurra la validación de autenticación.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32987)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.13 permite que los códigos de configuración de arranque sean reproducidos durante la verificación de emparejamiento de dispositivos en src/infra/device-bootstrap.ts. Los atacantes pueden verificar un código de arranque válido varias veces antes de la aprobación para escalar ámbitos de emparejamiento pendientes, incluyendo escalada de privilegios a operator.admin.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-33572)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.2.17 crea archivos JSONL de transcripciones de sesión con permisos predeterminados excesivamente amplios, lo que permite a los usuarios locales leer el contenido de las transcripciones. Atacantes con acceso local pueden leer los archivos de transcripción para extraer información sensible, incluidos secretos de la salida de la herramienta.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-33573)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.11 contiene una vulnerabilidad de omisión de autorización en el RPC del agente de pasarela que permite a los operadores autenticados con permiso operator.write anular los límites del espacio de trabajo al proporcionar valores spawnedBy y workspaceDir controlados por el atacante. Los operadores remotos pueden escapar del límite del espacio de trabajo configurado y ejecutar operaciones arbitrarias de archivo y ejecución desde cualquier directorio accesible por el proceso.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32972)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw antes de 2026.3.11 contiene una vulnerabilidad de omisión de autorización que permite a operadores autenticados con solo permiso operator.write acceder a rutas de gestión de perfiles de navegador solo para administradores a través de browser.request. Los atacantes pueden crear o modificar perfiles de navegador y persistir puntos finales CDP remotos controlados por el atacante en el disco sin poseer privilegios operator.admin.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32973)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.11 contiene una vulnerabilidad de omisión de lista de permitidos de ejecución donde matchesExecAllowlistPattern normaliza incorrectamente patrones con minúsculas y coincidencia de glob que coincide en exceso en rutas POSIX. Los atacantes pueden explotar la coincidencia del comodín ? a través de segmentos de ruta para ejecutar comandos o rutas no previstos por los operadores.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32974)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.12 contiene una vulnerabilidad de omisión de autenticación en el modo de webhook de Feishu cuando solo se configura verificationToken sin encryptKey, lo que permite la aceptación de eventos falsificados. Atacantes de red no autenticados pueden inyectar eventos falsificados de Feishu y desencadenar la ejecución de herramientas posteriores al alcanzar el punto final del webhook.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32975)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.12 contiene una vulnerabilidad de autorización débil en el modo de lista de permitidos de Zalouser que coincide con nombres de visualización de grupos mutables en lugar de identificadores de grupo estables. Los atacantes pueden crear grupos con nombres idénticos a los grupos en la lista de permitidos para eludir la autorización del canal y redirigir mensajes de grupos no deseados al agente.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32978)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.11 contiene una vulnerabilidad de integridad de aprobación donde las aprobaciones de system.run no logran vincular operandos de archivo mutables para ciertos ejecutores de scripts como tsx y jiti. Los atacantes pueden obtener aprobación para comandos de script benignos, reescribir scripts referenciados en disco y ejecutar código modificado bajo el contexto de ejecución aprobado.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32918)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.11 contiene una vulnerabilidad de escape de sandbox de sesión en la herramienta session_status que permite a los subagentes en sandbox acceder al estado de sesión padre o hermano. Los atacantes pueden proporcionar valores arbitrarios de sessionKey para leer o modificar datos de sesión fuera de su ámbito de sandbox, incluyendo anulaciones de modelo persistidas.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/03/2026
Suscribirse a Vulnerabilidades