Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-33188
Fecha de publicación:
18/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the issue originates from a different product.
Gravedad: Pendiente de análisis
Última modificación:
18/03/2026

CVE-2026-33189
Fecha de publicación:
18/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the issue originates from a different product.
Gravedad: Pendiente de análisis
Última modificación:
18/03/2026

Vulnerabilidad en kanboard (CVE-2026-33058)
Fecha de publicación:
18/03/2026
Idioma:
Español
Kanboard es un software de gestión de proyectos enfocado en la metodología Kanban. Las versiones anteriores a la 1.2.51 tienen una vulnerabilidad de inyección SQL autenticada. Los atacantes con permiso para añadir usuarios a un proyecto pueden aprovechar esta vulnerabilidad para volcar la totalidad de la base de datos de Kanboard. La versión 1.2.51 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

CVE-2026-33187
Fecha de publicación:
18/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the issue originates from a different product.
Gravedad: Pendiente de análisis
Última modificación:
18/03/2026

Vulnerabilidad en aws-s3 de craftcms (CVE-2026-32265)
Fecha de publicación:
18/03/2026
Idioma:
Español
El plugin Amazon S3 para Craft CMS proporciona una integración de Amazon S3 para Craft CMS. En las versiones 2.0.2 a la 2.2.4, los usuarios no autenticados pueden ver una lista de buckets a los que el plugin tiene acceso. El endpoint 'BucketsController->actionLoadBucketData()' permite a los usuarios no autenticados con un token CSRF válido ver una lista de buckets que el plugin tiene permitido ver. Los usuarios deben actualizar a la versión 2.2.5 del plugin para mitigar el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/04/2026

Vulnerabilidad en google-cloud de craftcms (CVE-2026-32266)
Fecha de publicación:
18/03/2026
Idioma:
Español
El plugin de Google Cloud Storage para Craft CMS proporciona una integración de Google Cloud Storage para Craft CMS. En versiones de la rama 2.x anteriores a la 2.2.1, el endpoint 'DefaultController->actionLoadBucketData()' permite a usuarios no autenticados con un token CSRF válido ver una lista de buckets que el plugin tiene permitido ver. Los usuarios deben actualizar a la versión 2.2.1 del plugin para mitigar el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
16/04/2026

Vulnerabilidad en music-metadata de Borewit (CVE-2026-32256)
Fecha de publicación:
18/03/2026
Idioma:
Español
music-metadata es un analizador de metadatos para archivos multimedia de audio y video. Antes de la versión 11.12.3, el analizador ASF de music-metadata ('parseExtensionObject()' en 'lib/asf/AsfParser.ts:112-158') entra en un bucle infinito cuando un subobjeto dentro del Objeto de Extensión de Encabezado ASF tiene 'objectSize = 0'. La versión 11.12.3 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en kube-router de cloudnativelabs (CVE-2026-32254)
Fecha de publicación:
18/03/2026
Idioma:
Español
Kube-router es una solución llave en mano para redes de Kubernetes. Antes de la versión 2.8.0, el módulo proxy de Kube-router no valida las externalIPs o las IPs de loadBalancer antes de programarlas en la configuración de red del nodo. La versión 2.8.0 contiene un parche para el problema. Las soluciones alternativas disponibles incluyen habilitar la puerta de características DenyServiceExternalIPs, desplegar una política de admisión, restringir el RBAC de creación de servicios, monitorear los cambios de servicio y aplicar el filtrado de prefijos BGP.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en jsPDF de parallax (CVE-2026-31938)
Fecha de publicación:
18/03/2026
Idioma:
Español
jsPDF es una biblioteca para generar PDFs en JavaScript. Antes de la versión 4.2.1, el control del usuario sobre el argumento 'options' de la función 'output' permite a los atacantes inyectar HTML arbitrario (como scripts) en el contexto del navegador en el que se abre el PDF creado. La vulnerabilidad puede ser explotada en el siguiente escenario: el atacante proporciona valores para las opciones de salida, por ejemplo, a través de una interfaz web. Estos valores se pasan luego sin sanear (automática o semi-automáticamente) a la víctima del ataque. La víctima crea y abre un PDF con el vector de ataque utilizando una de las sobrecargas de método vulnerables dentro de su navegador. El atacante puede así inyectar scripts que se ejecutan en el contexto del navegador de la víctima y puede extraer o modificar secretos de este contexto. La vulnerabilidad ha sido corregida en jspdf@4.2.1. Como solución alternativa, sanear la entrada del usuario antes de pasarla al método de salida.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/03/2026

Vulnerabilidad en jsPDF de parallax (CVE-2026-31898)
Fecha de publicación:
18/03/2026
Idioma:
Español
jsPDF es una biblioteca para generar PDFs en JavaScript. Anterior a la versión 4.2.1, el control del usuario sobre los argumentos del método 'createAnnotation' permite a los usuarios inyectar objetos PDF arbitrarios, como acciones de JavaScript. Si se le da la posibilidad de pasar entrada no saneada al siguiente método, un usuario puede inyectar objetos PDF arbitrarios, como acciones de JavaScript, que podrían activarse cuando el PDF se abre o se interactúa con el 'createAnnotation': parámetro 'color'. La vulnerabilidad ha sido corregida en jsPDF@4.2.1. Como solución alternativa, sanee la entrada del usuario antes de pasarla a los miembros vulnerables de la API.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en elysia de elysiajs (CVE-2026-31865)
Fecha de publicación:
18/03/2026
Idioma:
Español
Elysia es un framework de Typescript para la validación de solicitudes, inferencia de tipos, documentación OpenAPI y comunicación cliente-servidor. Antes de la versión 1.4.27, una cookie de Elysia podía ser sobrescrita mediante contaminación de prototipos, p. ej. `__proto__`. Este problema está parcheado en la versión 1.4.27. Como solución alternativa, use la validación t.Cookie para forzar el valor de validación y/o evitar la iteración sobre la cookie si es posible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en Cockpit de Cockpit-HQ (CVE-2026-31891)
Fecha de publicación:
18/03/2026
Idioma:
Español
Cockpit es un sistema de gestión de contenido sin interfaz gráfica. Cualquier instancia de Cockpit CMS que ejecute la versión 2.13.4 o anterior con acceso a la API habilitado es potencialmente afectada por una vulnerabilidad de inyección SQL en el Optimizador de Agregación de MongoLite. Cualquier despliegue donde el endpoint `/api/content/aggregate/{model}` sea accesible públicamente o alcanzable por usuarios no confiables puede ser vulnerable, y los atacantes en posesión de una clave API de solo lectura válida (el nivel de privilegio más bajo) pueden explotar esta vulnerabilidad — no se requiere acceso de administrador. Un atacante puede inyectar SQL arbitrario a través de nombres de campo no saneados en consultas de agregación, eludir el filtro de contenido publicado `_state=1` para acceder a contenido no publicado o restringido, y extraer datos no autorizados de la base de datos de contenido SQLite subyacente. Esta vulnerabilidad ha sido parcheada en la versión 2.13.5. La corrección aplica la misma sanitización de nombres de campo introducida en la v2.13.3 para `toJsonPath()` al método `toJsonExtractRaw()` en `lib/MongoLite/Aggregation/Optimizer.php`, cerrando el vector de inyección en el Optimizador de Agregación.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026
Suscribirse a Vulnerabilidades