Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en moby (CVE-2026-34040)
Fecha de publicación:
31/03/2026
Idioma:
Español
Moby es un framework de contenedores de código abierto. Antes de la versión 29.3.1, se ha detectado una vulnerabilidad de seguridad que permite a los atacantes eludir los plugins de autorización (AuthZ). Este problema ha sido parcheado en la versión 29.3.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2026

Vulnerabilidad en dolibarr de Dolibarr (CVE-2026-34036)
Fecha de publicación:
31/03/2026
Idioma:
Español
Dolibarr es un paquete de software de planificación de recursos empresariales (ERP) y gestión de relaciones con clientes (CRM). En las versiones 22.0.4 y anteriores, existe una vulnerabilidad de inclusión local de ficheros (LFI) en el endpoint AJAX principal /core/ajax/selectobject.php. Al manipular el parámetro objectdesc y explotar un fallo lógico de 'fail-open' en la función de control de acceso principal restrictedArea(), un usuario autenticado sin privilegios específicos puede leer el contenido de ficheros no PHP arbitrarios en el servidor (como .env, .htaccess, copias de seguridad de configuración o registros...). En el momento de la publicación, no hay parches disponibles públicamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/04/2026

Vulnerabilidad en moby (CVE-2026-33997)
Fecha de publicación:
31/03/2026
Idioma:
Español
Moby es un framework de contenedor de código abierto. Antes de la versión 29.3.1, se ha detectado una vulnerabilidad de seguridad que permite omitir la validación de privilegios de los plugins durante docker plugin install. Debido a un error en la lógica de comparación de privilegios del demonio, este puede aceptar incorrectamente un conjunto de privilegios que difiere del aprobado por el usuario. Los plugins que solicitan exactamente un privilegio también se ven afectados, porque no se realiza ninguna comparación en absoluto. Este problema ha sido parcheado en la versión 29.3.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/04/2026

Vulnerabilidad en scitokens (CVE-2026-32727)
Fecha de publicación:
31/03/2026
Idioma:
Español
SciTokens es una biblioteca de referencia para generar y usar SciTokens. Antes de la versión 1.9.7, el Enforcer es vulnerable a un ataque de salto de ruta donde un atacante puede usar punto-punto (..) en la declaración de alcance de un token para evadir la restricción de directorio prevista. Esto ocurre porque la biblioteca normaliza tanto la ruta autorizada (del token) como la ruta solicitada (de la aplicación) antes de compararlas usando startswith. Este problema ha sido parcheado en la versión 1.9.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2026

Vulnerabilidad en scitokens (CVE-2026-32716)
Fecha de publicación:
31/03/2026
Idioma:
Español
SciTokens es una biblioteca de referencia para generar y usar SciTokens. Antes de la versión 1.9.6, el Enforcer valida incorrectamente las rutas de alcance al usar una coincidencia de prefijo simple (startswith). Esto permite que un token con acceso a una ruta específica (por ejemplo, /john) también acceda a rutas hermanas que comienzan con el mismo prefijo (por ejemplo, /johnathan, /johnny), lo que constituye un bypass de autorización. Este problema ha sido parcheado en la versión 1.9.6.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2026

Vulnerabilidad en scitokens (CVE-2026-32714)
Fecha de publicación:
31/03/2026
Idioma:
Español
SciTokens es una biblioteca de referencia para generar y usar SciTokens. Antes de la versión 1.9.6, la clase KeyCache en scitokens era vulnerable a la inyección SQL porque utilizaba str.format() de Python para construir consultas SQL con datos proporcionados por el usuario (como issuer y key_id). Esto permitía a un atacante ejecutar comandos SQL arbitrarios contra la base de datos SQLite local. Este problema ha sido parcheado en la versión 1.9.6.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/04/2026

Vulnerabilidad en plugin Everest Forms Pro para WordPress (CVE-2026-3300)
Fecha de publicación:
31/03/2026
Idioma:
Español
El plugin Everest Forms Pro para WordPress es vulnerable a ejecución remota de código a través de inyección de código PHP en todas las versiones hasta la 1.9.12, inclusive. Esto se debe a que la función process_filter() del complemento Calculation Addon concatena valores de campos de formulario enviados por el usuario en una cadena de código PHP sin el escape adecuado antes de pasarlos a eval(). La función sanitize_text_field() aplicada a la entrada no escapa comillas simples u otros caracteres de contexto de código PHP. Esto hace posible que atacantes no autenticados inyecten y ejecuten código PHP arbitrario en el servidor al enviar un valor manipulado en cualquier campo de formulario de tipo cadena (texto, correo electrónico, URL, selección, radio) cuando un formulario utiliza la característica 'Cálculo Complejo'.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/04/2026

Vulnerabilidad en Gravity SMTP de RocketGenius (CVE-2026-4020)
Fecha de publicación:
31/03/2026
Idioma:
Español
El plugin Gravity SMTP para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta la 2.1.4, inclusive. Esto se debe a un endpoint de la API REST registrado en /wp-json/gravitysmtp/v1/tests/mock-data con un callback de permisos que devuelve true incondicionalmente, permitiendo que cualquier visitante no autenticado acceda a él. Cuando se añade el parámetro de consulta ?page=gravitysmtp-settings, el método register_connector_data() del plugin rellena los datos internos del conector, haciendo que el endpoint devuelva aproximadamente 365 KB de JSON que contiene el Informe Completo del Sistema. Esto hace posible que atacantes no autenticados recuperen datos detallados de configuración del sistema, incluyendo la versión de PHP, extensiones cargadas, versión del servidor web, ruta de la raíz del documento, tipo y versión del servidor de base de datos, versión de WordPress, todos los plugins activos con sus versiones, tema activo, detalles de configuración de WordPress, nombres de las tablas de la base de datos, y cualquier clave/token de API configurado en el plugin.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/04/2026

Vulnerabilidad en A3300R de Totolink (CVE-2026-5176)
Fecha de publicación:
31/03/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en Totolink A3300R 17.0.0cu.557_b20221024. Afectada es la función setSyslogCfg del archivo /cgi-bin/cstecgi.cgi. Realizar una manipulación del argumento proporcionado resulta en inyección de comandos. El ataque puede ser iniciado remotamente. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en Papercut NG/MF de PaperCut (CVE-2026-5115)
Fecha de publicación:
31/03/2026
Idioma:
Español
El PaperCut NG/MF (específicamente, la aplicación integrada para dispositivos Konica Minolta) es vulnerable al secuestro de sesión. La aplicación integrada de PaperCut NG/MF es una interfaz de software que se ejecuta directamente en la pantalla táctil de un dispositivo multifunción.<br /> <br /> Se descubrió internamente que el canal de comunicación entre la aplicación integrada y el servidor era inseguro, lo que podría filtrar datos, incluida información sensible que podría usarse para montar un ataque en el dispositivo. Dicho ataque podría usarse potencialmente para robar datos o para realizar un ataque de phishing en el usuario final.
Gravedad CVSS v4.0: BAJA
Última modificación:
03/04/2026

Vulnerabilidad en PaperCut NG/MF de PaperCut (CVE-2026-4794)
Fecha de publicación:
31/03/2026
Idioma:
Español
Múltiples vulnerabilidades de cross-site scripting (XSS) en PaperCut NG/MF anteriores a la versión 25.0.10 permiten a usuarios administradores autenticados inyectar scripts web o código HTML arbitrarios a través de diferentes campos de la interfaz de usuario. Esto podría usarse para comprometer las sesiones de otros administradores o realizar acciones no autorizadas a través del contexto autenticado del administrador (por ejemplo, requiere una sesión de inicio de sesión activa).
Gravedad CVSS v4.0: BAJA
Última modificación:
03/04/2026

Vulnerabilidad en basercms de baserproject (CVE-2026-32734)
Fecha de publicación:
31/03/2026
Idioma:
Español
baserCMS es un framework de desarrollo de sitios web. Antes de la versión 5.2.3, baserCMS tiene cross-site scripting basado en DOM en la creación de etiquetas. Este problema ha sido parcheado en la versión 5.2.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026
Suscribirse a Vulnerabilidades