Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en recipes de TandoorRecipes (CVE-2026-33153)
Fecha de publicación:
26/03/2026
Idioma:
Español
Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de compras. En versiones anteriores a la 2.6.0, el endpoint de la API de Recetas expone un parámetro de consulta oculto `?debug=true` que devuelve la consulta SQL sin procesar completa que se está ejecutando, incluyendo todos los nombres de tablas, nombres de columnas, relaciones JOIN, condiciones WHERE (revelando la lógica de control de acceso) y los ID de espacio multi-inquilino. Este parámetro funciona incluso cuando `DEBUG=False` de Django (modo de producción) y es accesible para cualquier usuario autenticado independientemente de su nivel de privilegio. Esto permite a un atacante de bajo privilegio mapear todo el esquema de la base de datos y realizar ingeniería inversa del modelo de autorización. La versión 2.6.0 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en recipes de TandoorRecipes (CVE-2026-33152)
Fecha de publicación:
26/03/2026
Idioma:
Español
Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de compras. En versiones anteriores a la 2.6.0, Tandoor Recipes configura Django REST Framework con BasicAuthentication como uno de los backends de autenticación predeterminados. La configuración de limitación de tasa de AllAuth (ACCOUNT_RATE_LIMITS: login: 5/m/ip) solo se aplica al endpoint de inicio de sesión basado en HTML en /accounts/login/. Cualquier endpoint de API que acepte solicitudes autenticadas puede ser objetivo a través de encabezados Authorization: Basic sin limitación de tasa, sin bloqueo de cuenta y con intentos ilimitados. Un atacante puede realizar adivinación de contraseñas a alta velocidad contra cualquier nombre de usuario conocido. La versión 2.6.0 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/03/2026

Vulnerabilidad en recipes de TandoorRecipes (CVE-2026-33148)
Fecha de publicación:
26/03/2026
Idioma:
Español
Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de compras. En versiones anteriores a la 2.6.0, el endpoint de búsqueda de FDC (USDA FoodData Central) construye una URL de API ascendente interpolando directamente el parámetro 'query' proporcionado por el usuario en la cadena de la URL sin codificación URL. Un atacante puede inyectar parámetros URL adicionales incluyendo caracteres '&' en el valor de la consulta. Esto permite anular la clave de la API, manipular el comportamiento de la consulta ascendente y causar caídas del servidor (HTTP 500) a través de solicitudes malformadas — una condición de denegación de servicio. La versión 2.6.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en recipes de TandoorRecipes (CVE-2026-33149)
Fecha de publicación:
26/03/2026
Idioma:
Español
Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de la compra. Las versiones hasta la 2.5.3 inclusive establecen ALLOWED_HOSTS = '*' por defecto, lo que provoca que Django acepte cualquier valor en la cabecera HTTP Host sin validación. La aplicación utiliza request.build_absolute_uri() para generar URLs absolutas en múltiples contextos, incluyendo correos electrónicos de enlaces de invitación, paginación de la API y generación de esquemas OpenAPI. Un atacante que pueda enviar solicitudes a la aplicación con una cabecera Host manipulada puede manipular todas las URLs absolutas generadas por el servidor. El impacto más crítico es el envenenamiento de enlaces de invitación: cuando un administrador crea una invitación y la aplicación envía el correo electrónico de invitación, el enlace apunta al servidor del atacante en lugar de a la aplicación real. Cuando la víctima hace clic en el enlace, el token de invitación se envía al atacante, quien luego puede usarlo en la aplicación real. En el momento de la publicación, se desconoce si hay una versión parcheada disponible.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2026

Vulnerabilidad en Daylight Studio FuelCMS (CVE-2026-30458)
Fecha de publicación:
26/03/2026
Idioma:
Español
Un problema en Daylight Studio FuelCMS v1.5.2 permite a los atacantes exfiltrar tokens de restablecimiento de contraseña de los usuarios mediante un ataque de división de correo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/03/2026

Vulnerabilidad en Daylight Studio FuelCMS (CVE-2026-30463)
Fecha de publicación:
26/03/2026
Idioma:
Español
Daylight Studio FuelCMS v1.5.2 se descubrió que contenía una vulnerabilidad de inyección SQL a través del componente /controllers/Login.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en Daylight Studio FuelCMS (CVE-2026-30457)
Fecha de publicación:
26/03/2026
Idioma:
Español
Un problema en el componente /parser/dwoo de Daylight Studio FuelCMS v1.5.2 permite a los atacantes ejecutar código arbitrario a través de código PHP especialmente diseñado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/03/2026

Vulnerabilidad en staffwiki (CVE-2026-29969)
Fecha de publicación:
26/03/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en el endpoint wff_cols_pref.css.aspx de staffwiki v7.0.1.19219 permite a los atacantes ejecutar Javascript arbitrario en el contexto del navegador del usuario a través de una solicitud HTTP manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2026

Vulnerabilidad en recipes de TandoorRecipes (CVE-2026-29055)
Fecha de publicación:
26/03/2026
Idioma:
Español
Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de la compra. En versiones anteriores a la 2.6.0, el proceso de procesamiento de imágenes en Tandoor Recipes omite explícitamente la eliminación de metadatos EXIF, el reescalado de imágenes y la validación de tamaño para los formatos de imagen WebP y GIF. Un comentario TODO de desarrollador en el código fuente reconoce esto como un problema conocido. Como resultado, cuando los usuarios suben fotos de recetas en formato WebP (el formato predeterminado para las cámaras de los smartphones modernos), sus datos EXIF sensibles — incluyendo coordenadas GPS, modelo de cámara, marcas de tiempo e información de software — se almacenan y se sirven a todos los usuarios que pueden ver la receta. La versión 2.6.0 soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en recipes de TandoorRecipes (CVE-2026-28503)
Fecha de publicación:
26/03/2026
Idioma:
Español
Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de compras. En versiones anteriores a la 2.6.0, la acción 'SyncViewSet.query_synced_folder()' en 'cookbook/views/API.py' (línea 903) obtiene un objeto Sync utilizando 'get_object_or_404(Sync, pk=pk)' sin incluir 'space=request.space' en el filtro. Esto permite que un usuario administrador en el Espacio A active operaciones de sincronización (importación de Dropbox/Nextcloud/Local) en configuraciones de Sync pertenecientes al Espacio B, y vea los registros de sincronización resultantes. La versión 2.6.0 corrige el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en thingino-firmware de themactep (CVE-2026-26213)
Fecha de publicación:
26/03/2026
Idioma:
Español
Las versiones de thingino-firmware hasta la versión firmware-2026-03-16 contienen una vulnerabilidad de inyección de comandos del sistema operativo no autenticada en el script CGI del portal cautivo WiFi que permite a atacantes remotos ejecutar comandos arbitrarios como root inyectando código malicioso a través de nombres de parámetros HTTP no saneados. Los atacantes pueden explotar la función eval en las funciones parse_query() y parse_post() para lograr la ejecución remota de código y realizar cambios de configuración privilegiados, incluyendo el restablecimiento de la contraseña de root y la modificación de authorized_keys de SSH, lo que resulta en un compromiso total y persistente del dispositivo.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en srvx de h3js (CVE-2026-33732)
Fecha de publicación:
26/03/2026
Idioma:
Español
srvx es un servidor universal basado en estándares web. Antes de la versión 0.11.13, una discrepancia en el análisis de rutas en el 'FastURL' de srvx permite la omisión de middleware en el adaptador de Node.js cuando una solicitud HTTP sin procesar utiliza una URI absoluta con un esquema no estándar (por ejemplo, 'file://'). A partir de la versión 0.11.13, el constructor 'FastURL' ahora recurre a la 'URL' nativa para cualquier cadena que no comience con '/', asegurando una resolución de rutas consistente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/04/2026
Suscribirse a Vulnerabilidades