Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en cms de craftcms (CVE-2026-28782)
Fecha de publicación:
04/03/2026
Idioma:
Español
Craft es un sistema de gestión de contenido (CMS). Antes de 5.9.0-beta.1 y 4.17.0-beta.1, la acción de entrada 'Duplicar' no verifica correctamente si el usuario tiene permiso para realizar esta acción en los elementos objetivo específicos. Incluso con solo el permiso de 'Ver Entradas' (donde la acción 'Duplicar' está restringida en la interfaz de usuario), un usuario puede eludir esta restricción enviando una solicitud directa. Además, esta vulnerabilidad permite duplicar entradas de otros usuarios especificando sus IDs de Entrada. Dado que los IDs de Entrada son incrementales, un atacante puede forzar por fuerza bruta trivialmente estos IDs para duplicar y acceder a contenido restringido en todo el sistema. Esta vulnerabilidad está corregida en 5.9.0-beta.1 y 4.17.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en Craft (CVE-2026-28783)
Fecha de publicación:
04/03/2026
Idioma:
Español
Craft es un sistema de gestión de contenido (CMS). Antes de 5.9.0-beta.1 y 4.17.0-beta.1, Craft CMS implementa una lista de bloqueo para evitar que funciones PHP potencialmente peligrosas sean llamadas a través de funciones de flecha Twig no-Closure. Para poder ejecutar este ataque con éxito, se necesita tener allowAdminChanges habilitado en producción, o una cuenta de administrador comprometida, o una cuenta con acceso a la utilidad de Mensajes del Sistema. Varias funciones PHP no están incluidas en la lista de bloqueo, lo que podría permitir a actores maliciosos con los permisos requeridos ejecutar varios tipos de cargas útiles, incluyendo RCEs, lecturas de archivos arbitrarias, SSRFs y SSTIs. Esta vulnerabilidad está corregida en 5.9.0-beta.1 y 4.17.0-beta.1.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
05/03/2026

Vulnerabilidad en Craft (CVE-2026-28784)
Fecha de publicación:
04/03/2026
Idioma:
Español
Craft es un sistema de gestión de contenidos (CMS). Antes de las versiones 5.8.22 y 4.16.18, es posible crear una carga útil maliciosa utilizando el filtro map de Twig en campos de texto que aceptan entrada Twig en Ajustes en el panel de control de Craft o utilizando la utilidad Mensajes del Sistema, lo que podría conducir a una RCE. Para que esto funcione, debe tener acceso de administrador al Panel de Control de Craft, y allowAdminChanges debe estar habilitado para que esto funcione, lo cual va en contra de nuestras recomendaciones para cualquier entorno que no sea de desarrollo. Alternativamente, puede tener una cuenta no administradora con allowAdminChanges deshabilitado, pero tener acceso a la utilidad Mensajes del Sistema. Los usuarios deben actualizar a las versiones parcheadas (5.8.22 y 4.16.18) para mitigar el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
05/03/2026

Vulnerabilidad en cms de craftcms (CVE-2026-28695)
Fecha de publicación:
04/03/2026
Idioma:
Español
Craft es un sistema de gestión de contenido (CMS). Hay una RCE de administrador autenticado en Craft CMS 5.8.21 a través de Inyección de Plantilla del Lado del Servidor usando la función Twig create() combinada con una cadena de gadgets de Symfony Process. La función Twig create() expone Craft::createObject(), lo que permite la instanciación de clases PHP arbitrarias con argumentos de constructor. Combinado con la dependencia symfony/process incluida, esto habilita RCE. Esto elude la corrección implementada para CVE-2025-57811 (parcheado en 5.8.7). Esta vulnerabilidad está corregida en 5.9.0-beta.1 y 4.17.0-beta.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
05/03/2026

Vulnerabilidad en HPE Aruba Networking Wireless Operating Systems (AOS-8 & AOS-10) (CVE-2026-23810)
Fecha de publicación:
04/03/2026
Idioma:
Español
Una vulnerabilidad en la lógica de procesamiento de paquetes podría permitir a un atacante autenticado crear y transmitir una trama Wi-Fi maliciosa que haga que un Punto de Acceso (AP) clasifique la trama como tráfico dirigido a grupo y la vuelva a cifrar utilizando la Clave Temporal de Grupo (GTK) asociada con el BSSID de la víctima. La explotación exitosa podría permitir la inyección de tráfico independiente de GTK y, cuando se combina con una técnica de robo de puerto, permite a un atacante redirigir el tráfico interceptado para facilitar ataques de máquina en el medio (MitM) a través de los límites de BSSID.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en HPE Aruba Networking Wireless Operating Systems (AOS-8 & AOS-10) (CVE-2026-23811)
Fecha de publicación:
04/03/2026
Idioma:
Español
Una vulnerabilidad en el mecanismo de aislamiento de clientes puede permitir a un atacante eludir las restricciones de comunicación de Capa 2 (L2) entre clientes y redirigir el tráfico en Capa 3 (L3). Además de eludir la aplicación de políticas, la explotación exitosa - cuando se combina con un ataque de robo de puerto - puede habilitar un ataque de Máquina en el Medio (MitM) bidireccional.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en HPE Aruba Networking Wireless Operating Systems (AOS-8 & AOS-10) (CVE-2026-23812)
Fecha de publicación:
04/03/2026
Idioma:
Español
Se ha identificado una vulnerabilidad donde un atacante que se conecta a un punto de acceso como un cliente cableado o inalámbrico estándar puede suplantar una puerta de enlace aprovechando una técnica de suplantación basada en direcciones. La explotación exitosa permite la redirección de flujos de datos, permitiendo la interceptación o modificación del tráfico destinado a la puerta de enlace de red legítima a través de una posición de Hombre en el Medio (MitM).
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en Cisco (CVE-2026-20005)
Fecha de publicación:
04/03/2026
Idioma:
Español
Múltiples productos Cisco están afectados por una vulnerabilidad en el motor de detección Snort 3 que podría permitir a un atacante remoto no autenticado provocar el reinicio del motor de detección Snort 3, lo que resultaría en una interrupción de la inspección de paquetes. Esta vulnerabilidad se debe a un análisis incompleto de los paquetes de entrada de handshake SSL. Un atacante podría explotar esta vulnerabilidad enviando paquetes de handshake SSL manipulados. Un exploit exitoso podría permitir al atacante provocar una condición de denegación de servicio (DoS) cuando el motor de detección Snort 3 se reinicia inesperadamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en Device Management Agent (DDMA) de Dell (CVE-2026-22760)
Fecha de publicación:
04/03/2026
Idioma:
Español
Dell Device Management Agent (DDMA), versiones anteriores a la 26.02, contienen una vulnerabilidad de comprobación incorrecta de condiciones inusuales o excepcionales. Un atacante con pocos privilegios y acceso local podría potencialmente explotar esta vulnerabilidad, lo que llevaría a una denegación de servicio.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/03/2026

Vulnerabilidad en HPE Aruba Networking Wireless Operating System (AOS-10 & AOS-8) (CVE-2026-23601)
Fecha de publicación:
04/03/2026
Idioma:
Español
Una vulnerabilidad ha sido identificada en el manejo del cifrado inalámbrico de las transmisiones Wi-Fi. Un actor malicioso puede generar transmisiones autenticadas por clave compartida que contienen cargas útiles dirigidas mientras suplanta la identidad de un BSSID primario. La explotación exitosa permite la entrega de datos manipulados a puntos finales específicos, eludiendo la separación criptográfica estándar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en HPE Aruba Networking Wireless Operating System (AOS-10 & AOS-8) (CVE-2026-23808)
Fecha de publicación:
04/03/2026
Idioma:
Español
Se ha identificado una vulnerabilidad en un protocolo de itinerancia inalámbrica estandarizado que podría permitir a un actor malicioso instalar una Clave Temporal de Grupo (GTK) controlada por el atacante en un dispositivo cliente. La explotación exitosa de esta vulnerabilidad podría permitir a un actor malicioso remoto realizar inyección de tramas no autorizada, eludir el aislamiento del cliente, interferir con el tráfico entre clientes y comprometer la segmentación, integridad y confidencialidad de la red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en HPE Aruba Networking Wireless Operating System (AOS-10 & AOS-8) (CVE-2026-23809)
Fecha de publicación:
04/03/2026
Idioma:
Español
Se ha identificado una técnica que adapta un método conocido de robo de puertos a entornos Wi-Fi que utilizan múltiples BSSID. Al aprovechar la relación entre los BSSID y sus puertos virtuales asociados, un atacante podría potencialmente eludir los controles de aislamiento entre BSSID. La explotación exitosa podría permitir a un atacante redirigir e interceptar el tráfico de red de la víctima, lo que podría resultar en escucha no autorizada, secuestro de sesión o denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026
Suscribirse a Vulnerabilidades