Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en FH1201 de Tenda (CVE-2026-5046)
Fecha de publicación:
29/03/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Tenda FH1201 1.2.0.14(408). Afectada es la función formWrlExtraSet del archivo /goform/WrlExtraSet del componente Gestor de Parámetros. La ejecución de una manipulación del argumento GO puede conducir a un desbordamiento de búfer basado en pila. El ataque puede realizarse de forma remota. El exploit ha sido publicado y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en FH1201 de Tenda (CVE-2026-5045)
Fecha de publicación:
29/03/2026
Idioma:
Español
Una vulnerabilidad fue detectada en Tenda FH1201 1.2.0.14(408). Esto afecta a la función WrlclientSet del archivo /goform/WrlclientSet del componente Gestor de Parámetros. Realizar una manipulación del argumento GO resulta en un desbordamiento de búfer basado en pila. El ataque es posible de llevar a cabo remotamente. El exploit es ahora público y puede ser usado.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-33574)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw antes de 2026.3.8 contiene una vulnerabilidad de salto de ruta en el instalador de descarga de habilidades que valida la raíz de las herramientas léxicamente pero reutiliza la ruta mutable durante las operaciones de descarga y copia del archivo. Un atacante local puede reasignar la ruta tools-root entre la validación y la escritura final para redirigir el instalador fuera del directorio de herramientas previsto.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-33575)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw antes de 2026.3.12 incrusta credenciales de puerta de enlace compartidas de larga duración directamente en los códigos de configuración de emparejamiento generados por el endpoint /pair y el comando qr de OpenClaw. Los atacantes con acceso a códigos de configuración filtrados del historial de chat, registros o capturas de pantalla pueden recuperar y reutilizar la credencial de puerta de enlace compartida fuera del flujo de emparejamiento único previsto.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en F9K1122 de Belkin (CVE-2026-5044)
Fecha de publicación:
29/03/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en Belkin F9K1122 1.00.33. Esto afecta a la función formSetSystemSettings del archivo /goform/formSetSystemSettings del componente Gestor de Configuración. Dicha manipulación del argumento webpage conduce a un desbordamiento de búfer basado en pila. El ataque puede ser ejecutado de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32979)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.11 contiene una vulnerabilidad de integridad de aprobación que permite a los atacantes ejecutar código local reescrito modificando scripts entre la aprobación y la ejecución cuando no puede producirse una vinculación exacta de archivos. Atacantes remotos pueden cambiar scripts locales aprobados antes de la ejecución para lograr una ejecución de código no deseada como el usuario de tiempo de ejecución de OpenClaw.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32980)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.13 lee y almacena en búfer los cuerpos de las solicitudes de webhook de Telegram antes de validar el encabezado x-telegram-bot-API-secret-token, permitiendo a atacantes no autenticados agotar los recursos del servidor. Los atacantes pueden enviar solicitudes POST al punto final del webhook para forzar el consumo de memoria, el tiempo de socket y el trabajo de análisis JSON antes de que ocurra la validación de autenticación.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32987)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.13 permite que los códigos de configuración de arranque sean reproducidos durante la verificación de emparejamiento de dispositivos en src/infra/device-bootstrap.ts. Los atacantes pueden verificar un código de arranque válido varias veces antes de la aprobación para escalar ámbitos de emparejamiento pendientes, incluyendo escalada de privilegios a operator.admin.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-33572)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.2.17 crea archivos JSONL de transcripciones de sesión con permisos predeterminados excesivamente amplios, lo que permite a los usuarios locales leer el contenido de las transcripciones. Atacantes con acceso local pueden leer los archivos de transcripción para extraer información sensible, incluidos secretos de la salida de la herramienta.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-33573)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.11 contiene una vulnerabilidad de omisión de autorización en el RPC del agente de pasarela que permite a los operadores autenticados con permiso operator.write anular los límites del espacio de trabajo al proporcionar valores spawnedBy y workspaceDir controlados por el atacante. Los operadores remotos pueden escapar del límite del espacio de trabajo configurado y ejecutar operaciones arbitrarias de archivo y ejecución desde cualquier directorio accesible por el proceso.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32972)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw antes de 2026.3.11 contiene una vulnerabilidad de omisión de autorización que permite a operadores autenticados con solo permiso operator.write acceder a rutas de gestión de perfiles de navegador solo para administradores a través de browser.request. Los atacantes pueden crear o modificar perfiles de navegador y persistir puntos finales CDP remotos controlados por el atacante en el disco sin poseer privilegios operator.admin.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32973)
Fecha de publicación:
29/03/2026
Idioma:
Español
OpenClaw anterior a 2026.3.11 contiene una vulnerabilidad de omisión de lista de permitidos de ejecución donde matchesExecAllowlistPattern normaliza incorrectamente patrones con minúsculas y coincidencia de glob que coincide en exceso en rutas POSIX. Los atacantes pueden explotar la coincidencia del comodín ? a través de segmentos de ruta para ejecutar comandos o rutas no previstos por los operadores.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026
Suscribirse a Vulnerabilidades