Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenOLAT (CVE-2026-28228)
Fecha de publicación:
30/03/2026
Idioma:
Español
OpenOlat es una plataforma de e-learning de código abierto basada en web para la enseñanza, el aprendizaje, la evaluación y la comunicación. Antes de las versiones 19.1.31, 20.1.18 y 20.2.5, un usuario autenticado con el rol de Autor puede inyectar directivas de Velocity en una plantilla de correo electrónico de recordatorio. Cuando el recordatorio es procesado (ya sea activado manualmente o a través de la tarea cron diaria), las directivas inyectadas son evaluadas en el lado del servidor. Al encadenar la directiva #set de Velocity con la reflexión de Java, un atacante puede instanciar clases Java arbitrarias como java.lang.ProcessBuilder y ejecutar comandos del sistema operativo con los privilegios del proceso Tomcat (típicamente root en despliegues en contenedores). Este problema ha sido parcheado en las versiones 19.1.31, 20.1.18 y 20.2.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en ci4ms de ci4-cms-erp (CVE-2026-27599)
Fecha de publicación:
30/03/2026
Idioma:
Español
CI4MS es un esqueleto de CMS basado en CodeIgniter 4 que ofrece una arquitectura modular lista para producción con autorización RBAC y soporte de temas. Antes de la versión 0.31.0.0, la aplicación no logra sanear correctamente la entrada controlada por el usuario dentro de Configuración del Sistema – Configuración de Correo. Varios campos de configuración, incluyendo Servidor de Correo, Puerto de Correo, Dirección de Correo Electrónico, Contraseña de Correo Electrónico, Protocolo de Correo y configuraciones TLS, aceptan entrada controlada por el atacante que se almacena en el lado del servidor y luego se renderiza sin una codificación de salida adecuada. Este problema ha sido parcheado en la versión 0.31.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/04/2026

Vulnerabilidad en SakaDev (CVE-2026-30306)
Fecha de publicación:
30/03/2026
Idioma:
Español
En su diseño para la ejecución automática de comandos de terminal, SakaDev ofrece dos opciones: Ejecutar comandos seguros y ejecutar todos los comandos. La descripción de la primera opción establece que los comandos que el modelo determine como seguros se ejecutarán automáticamente, mientras que si el modelo juzga que un comando es potencialmente destructivo, aún requiere la aprobación del usuario. Sin embargo, este diseño es altamente susceptible a ataques de inyección de *prompts*. Un atacante puede emplear una plantilla genérica para envolver cualquier comando malicioso y engañar al modelo para que lo clasifique erróneamente como un comando 'seguro', eludiendo así el requisito de aprobación del usuario y resultando en la ejecución arbitraria de comandos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/04/2026

Vulnerabilidad en gotenberg (CVE-2026-27018)
Fecha de publicación:
30/03/2026
Idioma:
Español
Gotenberg es una API para convertir formatos de documentos. Antes de la versión 8.29.0, la corrección introducida para CVE-2024-21527 puede ser eludida utilizando esquemas de URL en mayúsculas y minúsculas o en mayúsculas. Este problema ha sido parcheado en la versión 8.29.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/04/2026

Vulnerabilidad en NanoMQ MQTT Broker (CVE-2026-25627)
Fecha de publicación:
30/03/2026
Idioma:
Español
NanoMQ MQTT Broker (NanoMQ) es una plataforma de mensajería de borde integral. Antes de la versión 0.24.8, el transporte MQTT-over-WebSocket de NanoMQ puede colapsar al enviar un paquete MQTT con una longitud restante (Remaining Length) deliberadamente grande en la cabecera fija mientras se proporciona una carga útil real mucho más corta. La ruta del código copia bytes de la longitud restante sin verificar que el búfer de recepción actual contenga esa cantidad de bytes, lo que resulta en una lectura fuera de límites (ASAN informa OOB / fallo). Esto puede ser activado remotamente a través del oyente de WebSocket. Este problema ha sido parcheado en la versión 0.24.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/04/2026

Vulnerabilidad en Accounting System de code-projects (CVE-2026-5150)
Fecha de publicación:
30/03/2026
Idioma:
Español
Se ha detectado una vulnerabilidad de seguridad en code-projects Accounting System 1.0. Este problema afecta a un procesamiento desconocido del archivo /viewin_costumer.php del componente Gestor de Parámetros. Tal manipulación del argumento cos_id conduce a inyección SQL. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado públicamente y puede ser usado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en yudao-cloud de YunaiV (CVE-2026-5148)
Fecha de publicación:
30/03/2026
Idioma:
Español
Se ha identificado una debilidad en YunaiV yudao-cloud hasta 2026.01. Esta vulnerabilidad afecta código desconocido del archivo /admin-api/system/mail-log/page. Esta manipulación del argumento toMail causa inyección SQL. El ataque puede iniciarse remotamente. El exploit se ha puesto a disposición del público y podría usarse para ataques. Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en nginx-ui de 0xJacky (CVE-2026-33026)
Fecha de publicación:
30/03/2026
Idioma:
Español
Nginx UI es una interfaz de usuario web para el servidor web Nginx. Antes de la versión 2.3.4, el mecanismo de restauración de copias de seguridad de nginx-ui permite a los atacantes manipular archivos de copia de seguridad cifrados e inyectar configuración maliciosa durante la restauración. Este problema ha sido parcheado en la versión 2.3.4.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
01/04/2026

Vulnerabilidad en Tautulli (CVE-2026-32275)
Fecha de publicación:
30/03/2026
Idioma:
Español
Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Server. Desde la versión 1.3.10 hasta antes de la versión 2.17.0, un parámetro de callback JSONP no saneado permite la inyección de scripts de origen cruzado y el robo de claves API. Este problema ha sido parcheado en la versión 2.17.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en Tautulli (CVE-2026-31831)
Fecha de publicación:
30/03/2026
Idioma:
Español
Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Server. Antes de la versión 2.17.0, el endpoint de la API /newsletter/image/images es vulnerable a salto de ruta, permitiendo a atacantes no autenticados leer archivos arbitrarios del sistema de archivos del servidor de aplicaciones. Este problema ha sido parcheado en la versión 2.17.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en Tautulli (CVE-2026-31799)
Fecha de publicación:
30/03/2026
Idioma:
Español
Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Server. Desde la versión 2.14.2 hasta antes de la versión 2.17.0 para los parámetros 'before' y 'after', y desde la versión 2.1.0-beta hasta antes de la versión 2.17.0 para los parámetros 'section_id' y 'user_id', el endpoint /api/v2?cmd=get_home_stats pasa los parámetros de consulta section_id, user_id, before y after directamente a SQL a través del formato de cadena % de Python sin parametrización. Un atacante que posee la clave API de administrador de Tautulli puede inyectar SQL arbitrario y exfiltrar cualquier valor de la base de datos SQLite de Tautulli mediante inferencia booleana a ciegas. Este problema ha sido parcheado en la versión 2.17.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/04/2026

Vulnerabilidad en Roo Code (CVE-2026-30307)
Fecha de publicación:
30/03/2026
Idioma:
Español
El módulo de autoaprobación de comandos de Roo Code contiene una vulnerabilidad crítica de inyección de comandos del sistema operativo que hace que su mecanismo de seguridad de lista blanca sea completamente ineficaz. El sistema se basa en expresiones regulares frágiles para analizar estructuras de comandos; si bien intenta interceptar operaciones peligrosas, no tiene en cuenta la sustitución de comandos estándar de Shell Roo Code (específicamente $(...) y las comillas invertidas ...). Un atacante puede construir un comando como 'git log --grep="$(malicious_command)"', lo que obliga a Syntx a identificarlo erróneamente como una operación git segura y aprobarlo automáticamente. El Shell subyacente prioriza la ejecución del código malicioso inyectado dentro de los argumentos, lo que resulta en ejecución remota de código sin ninguna interacción del usuario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/04/2026
Suscribirse a Vulnerabilidades