Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Grav CMS (CVE-2026-29924)
Fecha de publicación:
30/03/2026
Idioma:
Español
Grav CMS v1.7.x y anteriores es vulnerable a entidad externa XML (XXE) a través de la funcionalidad de carga de archivos SVG en el panel de administración y el plugin File Manager.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/04/2026

Vulnerabilidad en consult-llm-mcp de raine (CVE-2026-5125)
Fecha de publicación:
30/03/2026
Idioma:
Español
Una vulnerabilidad fue detectada en raine consult-llm-mcp hasta 2.5.3. Afectada por esta vulnerabilidad es la función child_process.execSync del archivo src/server.ts. La manipulación del argumento git_diff.base_ref/git_diff.files resulta en inyección de comandos del sistema operativo. El ataque solo es posible con acceso local. El exploit ahora es público y puede ser utilizado. La actualización a la versión 2.5.4 soluciona este problema. El parche se identifica como 4abf297b34e5e8a9cb364b35f52c5f0ca1d599d3. Se recomienda actualizar el componente afectado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en RSS Feed Parser de SourceCodester (CVE-2026-5126)
Fecha de publicación:
30/03/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en SourceCodester RSS Feed Parser 1.0. Este problema afecta a la función file_get_contents. Esta manipulación provoca falsificación de petición del lado del servidor. El ataque puede llevarse a cabo remotamente. El exploit ha sido publicado y puede utilizarse.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en nginx-ui de 0xJacky (CVE-2026-33029)
Fecha de publicación:
30/03/2026
Idioma:
Español
Nginx UI es una interfaz de usuario web para el servidor web Nginx. Antes de la versión 2.3.4, una vulnerabilidad de validación de entrada en la configuración de logrotate permite a un usuario autenticado causar una completa denegación de servicio (DoS). Al enviar un número entero negativo para el intervalo de rotación, el backend entra en un bucle infinito o un estado no válido, lo que hace que la interfaz web no responda. Este problema se ha corregido en la versión 2.3.4.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/04/2026

Vulnerabilidad en nginx-ui de 0xJacky (CVE-2026-33030)
Fecha de publicación:
30/03/2026
Idioma:
Español
Nginx UI es una interfaz de usuario web para el servidor web Nginx. En las versiones 2.3.3 y anteriores, Nginx-UI contiene una vulnerabilidad de Referencia Directa Insegura a Objeto (IDOR) que permite a cualquier usuario autenticado acceder, modificar y eliminar recursos pertenecientes a otros usuarios. La estructura base Model de la aplicación carece de un campo user_id, y todos los puntos finales de recursos realizan consultas por ID sin verificar la propiedad del usuario, lo que permite una omisión completa de la autorización en entornos multiusuario. En el momento de la publicación, no hay parches disponibles públicamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en nginx-ui de 0xJacky (CVE-2026-33032)
Fecha de publicación:
30/03/2026
Idioma:
Español
Nginx UI es una interfaz de usuario web para el servidor web Nginx. En las versiones 2.3.5 y anteriores, la integración MCP (Model Context Protocol) de nginx-ui expone dos puntos finales HTTP: /mcp y /mcp_message. Mientras que /mcp requiere tanto la lista blanca de IP como la autenticación (middleware AuthRequired()), el punto final /mcp_message solo aplica la lista blanca de IP, y la lista blanca de IP predeterminada está vacía, lo que el middleware trata como 'permitir todo'. Esto significa que cualquier atacante de red puede invocar todas las herramientas MCP sin autenticación, incluyendo reiniciar nginx, crear/modificar/eliminar archivos de configuración de nginx y activar recargas automáticas de configuración, logrando una toma de control completa del servicio nginx. En el momento de la publicación, no hay parches disponibles públicamente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/04/2026

Vulnerabilidad en glibc de The GNU C Library (CVE-2026-4046)
Fecha de publicación:
30/03/2026
Idioma:
Español
La función iconv() en la Biblioteca C de GNU versiones 2.43 y anteriores puede colapsar debido a un fallo de aserción al convertir entradas de los conjuntos de caracteres IBM1390 o IBM1399, lo que puede ser utilizado para colapsar una aplicación de forma remota.<br /> <br /> Esta vulnerabilidad puede mitigarse trivialmente al eliminar los conjuntos de caracteres IBM1390 e IBM1399 de los sistemas que no los necesiten.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2026

Vulnerabilidad en OpenAirInterface (CVE-2026-30077)
Fecha de publicación:
30/03/2026
Idioma:
Español
OpenAirInterface V2.2.0 AMF se bloquea cuando no logra decodificar el mensaje. No todas las fallas de decodificación resultan en un bloqueo. Pero el bloqueo es consistente para entradas particulares. Una entrada de ejemplo en flujo hexadecimal es 80 00 00 0E 00 00 01 00 0F 80 02 02 40 00 58 00 01 88.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/04/2026

Vulnerabilidad en awesome-llm-apps (CVE-2026-29872)
Fecha de publicación:
30/03/2026
Idioma:
Español
Existe una vulnerabilidad de revelación de información entre sesiones en el proyecto awesome-llm-apps en el commit e46690f99c3f08be80a9877fab52acacf7ab8251 (19-01-2026). El agente GitHub MCP basado en Streamlit afectado almacena tokens de API proporcionados por el usuario en variables de entorno a nivel de proceso usando os.environ sin un aislamiento de sesión adecuado. Debido a que Streamlit sirve a múltiples usuarios concurrentes desde un único proceso de Python, las credenciales proporcionadas por un usuario permanecen accesibles para usuarios no autenticados posteriores. Un atacante puede explotar este problema para recuperar información sensible como Tokens de Acceso Personal de GitHub o claves de API de LLM, lo que podría llevar a un acceso no autorizado a recursos privados y abuso financiero.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/04/2026

Vulnerabilidad en OpenSC (CVE-2025-66215)
Fecha de publicación:
30/03/2026
Idioma:
Español
OpenSC es herramientas y middleware de código abierto para tarjetas inteligentes. Antes de la versión 0.27.0, un atacante con acceso físico al ordenador en el momento en que el usuario o el administrador utiliza un token puede causar una escritura de desbordamiento de búfer de pila en card-oberthur. El ataque requiere un dispositivo USB o tarjeta inteligente especialmente diseñado que presentaría al sistema respuestas especialmente diseñadas a las APDU. Este problema ha sido parcheado en la versión 0.27.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/04/2026

Vulnerabilidad en OpenSC (CVE-2025-66038)
Fecha de publicación:
30/03/2026
Idioma:
Español
OpenSC es un conjunto de herramientas y middleware de código abierto para tarjetas inteligentes. Antes de la versión 0.27.0, sc_compacttlv_find_tag busca una etiqueta dada en un búfer compact-TLV. En compact-TLV, un solo byte codifica la etiqueta (nibble superior) y la longitud del valor (nibble inferior). Con un búfer de 1 byte {0x0A}, el elemento codificado declara etiqueta=0 y longitud=10 pero no le siguen bytes de valor. Llamar a sc_compacttlv_find_tag con la etiqueta de búsqueda 0x00 devuelve un puntero igual a buf+1 y outlen=10 sin verificar que la longitud de valor declarada cabe dentro del búfer restante. En los casos en que a sc_compacttlv_find_tag se le proporcionan datos no confiables (como los leídos de tarjetas/archivos), los atacantes pueden influir en ella para que devuelva punteros fuera de los límites, lo que lleva a una corrupción de memoria posterior cuando el código subsiguiente intenta desreferenciar el puntero. Este problema ha sido corregido en la versión 0.27.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/04/2026

Vulnerabilidad en OpenSC (CVE-2025-66037)
Fecha de publicación:
30/03/2026
Idioma:
Español
OpenSC es un conjunto de herramientas y middleware de código abierto para tarjetas inteligentes. Antes de la versión 0.27.0, al introducir una entrada manipulada en el arnés fuzz_pkcs15_reader, OpenSC realiza una lectura de pila fuera de límites en la ruta de manejo de X.509/SPKI. Específicamente, sc_pkcs15_pubkey_from_spki_fields() asigna un búfer de longitud cero y luego lee un byte más allá del final de esa asignación. Este problema ha sido parcheado en la versión 0.27.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/04/2026
Suscribirse a Vulnerabilidades