Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Mattermost (CVE-2026-3115)
Fecha de publicación:
26/03/2026
Idioma:
Español
Las versiones de Mattermost 11.2.x <= 11.2.2, 10.11.x <= 10.11.10, 11.4.x <= 11.4.0, 11.3.x <= 11.3.1 no aplican las restricciones de visualización al recuperar los IDs de miembros de grupo, lo que permite a los usuarios invitados autenticados enumerar los IDs de usuario fuera de su ámbito de visibilidad permitido a través del endpoint de recuperación de grupo. ID de Aviso de Mattermost: MMSA-2026-00594
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en Mattermost (CVE-2026-3114)
Fecha de publicación:
26/03/2026
Idioma:
Español
Las versiones de Mattermost 11.4.x <= 11.4.0, 11.3.x <= 11.3.1, 11.2.x <= 11.2.3, 10.11.x <= 10.11.11 no validan los tamaños de las entradas de archivo descomprimidas durante la extracción de archivos, lo que permite a usuarios autenticados con permisos de carga de archivos causar una denegación de servicio mediante archivos zip manipulados que contienen entradas altamente comprimidas (bombas zip) que agotan la memoria del servidor. ID de aviso de Mattermost: MMSA-2026-00598
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en Mattermost (CVE-2026-3113)
Fecha de publicación:
26/03/2026
Idioma:
Español
Las versiones de Mattermost 11.4.x <= 11.4.0, 11.3.x <= 11.3.1, 11.2.x <= 11.2.3, 10.11.x <= 10.11.11 fallan al establecer permisos en la exportación masiva descargada, lo que permite a otros usuarios locales en el servidor poder leer el contenido de la exportación masiva. ID de Aviso de Mattermost: MMSA-2026-00593
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en Mattermost (CVE-2026-3112)
Fecha de publicación:
26/03/2026
Idioma:
Español
Las versiones de Mattermost 11.4.x <= 11.4.0, 11.3.x <= 11.3.1, 11.2.x <= 11.2.3, 10.11.x <= 10.11.11 no validan las rutas de destino de los archivos de Registro Avanzado, lo que permite a los administradores del sistema leer archivos de host arbitrarios a través de una configuración JSON de Registro Avanzado maliciosa en la generación de paquetes de soporte. ID de Aviso de Mattermost: MMSA-2025-00562
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en path-to-regexp (CVE-2026-4867)
Fecha de publicación:
26/03/2026
Idioma:
Español
Impacto:<br /> <br /> Se genera una expresión regular incorrecta cada vez que se tienen tres o más parámetros dentro de un único segmento, separados por algo que no sea un punto (.). Por ejemplo, /:a-:b-:c o /:a-:b-:c-:d. La protección contra retroceso añadida en path-to-regexp@0.1.12 solo previene la ambigüedad para dos parámetros. Con tres o más, el &amp;#39;lookahead&amp;#39; generado no bloquea los caracteres separadores individuales, por lo que los grupos de captura se superponen y causan un retroceso catastrófico.<br /> <br /> Parches:<br /> <br /> Actualizar a path-to-regexp@0.1.13<br /> <br /> Los patrones de expresiones regulares personalizados en las definiciones de ruta (por ejemplo, /:a-:b([^-/]+)-:c([^-/]+)) no se ven afectados porque anulan el grupo de captura predeterminado.<br /> <br /> Soluciones provisionales:<br /> <br /> Todas las versiones pueden ser parcheadas proporcionando una expresión regular personalizada para los parámetros después del primero en un único segmento. Siempre y cuando la expresión regular personalizada no coincida con el texto anterior al parámetro, estará seguro. Por ejemplo, cambie /:a-:b-:c a /:a-:b([^-/]+)-:c([^-/]+).<br /> <br /> Si las rutas no pueden ser reescritas y las versiones no pueden ser actualizadas, otra alternativa es limitar la longitud de la URL.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/04/2026

Vulnerabilidad en libpng de pnggroup (CVE-2026-33636)
Fecha de publicación:
26/03/2026
Idioma:
Español
LIBPNG es una biblioteca de referencia para uso en aplicaciones que leen, crean y manipulan archivos de imagen ráster PNG (Portable Network Graphics). En las versiones 1.6.36 a 1.6.55, existe una lectura y escritura fuera de límites en la ruta de expansión de paleta optimizada para Neon de ARM/AArch64 de libpng. Al expandir filas paletizadas de 8 bits a RGB o RGBA, el bucle Neon procesa un fragmento parcial final sin verificar que queden suficientes píxeles de entrada. Debido a que la implementación funciona hacia atrás desde el final de la fila, la iteración final desreferencia punteros antes del inicio del búfer de fila (lectura OOB) y escribe datos de píxeles expandidos en las mismas posiciones de desbordamiento inferior (escritura OOB). Esto es alcanzable a través de la decodificación normal de entrada PNG controlada por el atacante si Neon está habilitado. La versión 1.6.56 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en Mattermost (CVE-2026-3109)
Fecha de publicación:
26/03/2026
Idioma:
Español
Las versiones &amp;lt;=11.4 10.11.11.0 de los plugins de Mattermost no validan las marcas de tiempo de las solicitudes de webhook, lo que permite a un atacante corromper el estado de las reuniones de Zoom en Mattermost mediante solicitudes de webhook repetidas. ID de aviso de Mattermost: MMSA-2026-00584
Gravedad CVSS v3.1: BAJA
Última modificación:
30/03/2026

Vulnerabilidad en Mattermost (CVE-2026-3108)
Fecha de publicación:
26/03/2026
Idioma:
Español
Las versiones de Mattermost 11.2.x &amp;lt;= 11.2.2, 10.11.x &amp;lt;= 10.11.10, 11.4.x &amp;lt;= 11.4.0, 11.3.x &amp;lt;= 11.3.1 no logran sanear el contenido de publicaciones controlado por el usuario en la salida de terminal de los comandos mmctl, lo que permite a los atacantes manipular las terminales de los administradores a través de mensajes elaborados que contienen secuencias de escape ANSI y OSC que habilitan la manipulación de pantalla, avisos falsos y el secuestro del portapapeles. ID de aviso de Mattermost: MMSA-2026-00599
Gravedad CVSS v3.1: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en kysely de kysely-org (CVE-2026-33468)
Fecha de publicación:
26/03/2026
Idioma:
Español
Kysely es un constructor de consultas SQL de TypeScript con seguridad de tipos. Antes de la versión 0.28.14, `DefaultQueryCompiler.sanitizeStringLiteral()` de Kysely solo escapaba las comillas simples duplicándolas (&amp;#39;`&amp;#39;` ? `&amp;#39;&amp;#39;`) pero no escapaba las barras invertidas. Cuando se usa con el dialecto de MySQL (donde `NO_BACKSLASH_ESCAPES` está DESACTIVADO por defecto), un atacante puede usar una barra invertida para escapar la comilla final de un literal de cadena, saliendo del contexto de la cadena e inyectando SQL arbitrario. Esto afecta a cualquier ruta de código que utilice `ImmediateValueTransformer` para incrustar valores — específicamente `CreateIndexBuilder.where()` y `CreateViewBuilder.as()`. La versión 0.28.14 contiene una corrección.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/03/2026

Vulnerabilidad en frigate de blakeblackshear (CVE-2026-33470)
Fecha de publicación:
26/03/2026
Idioma:
Español
Frigate es un grabador de vídeo en red (NVR) con detección local de objetos en tiempo real para cámaras IP. En la versión 0.17.0, un usuario autenticado con bajos privilegios restringido a una cámara puede acceder a instantáneas de otras cámaras. Esto es posible a través de una cadena de dos problemas de autorización: `/api/timeline` devuelve entradas de la línea de tiempo para cámaras fuera del conjunto de cámaras permitidas del llamador, luego `/api/events/{event_id}/snapshot-clean.webp` declara `Depends(require_camera_access)` pero nunca valida realmente `event.camera` después de buscar el evento. Juntos, esto permite a un usuario restringido enumerar IDs de eventos de cámaras no autorizadas y luego obtener instantáneas limpias para esos eventos. La versión 0.17.1 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en frigate de blakeblackshear (CVE-2026-33469)
Fecha de publicación:
26/03/2026
Idioma:
Español
Frigate es un grabador de vídeo en red (NVR) con detección de objetos local en tiempo real para cámaras IP. En la versión 0.17.0, un usuario autenticado no administrador puede recuperar la configuración completa sin procesar de Frigate a través de `/api/config/raw`. Esto expone valores sensibles que son intencionalmente redactados de `/api/config`, incluyendo credenciales de cámara, credenciales de flujo de go2rtc, contraseñas MQTT, secretos de proxy y cualquier otro secreto almacenado en `config.yml`. Esto parece ser un problema de control de acceso roto introducido por la refactorización de la API de administrador por defecto: `/api/config/raw_paths` es solo para administradores, pero `/api/config/raw` sigue siendo accesible para cualquier usuario autenticado. La versión 0.17.1 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en Stirling-PDF de Stirling-Tools (CVE-2026-34071)
Fecha de publicación:
26/03/2026
Idioma:
Español
Stirling-PDF es una aplicación web alojada localmente que le permite realizar varias operaciones en archivos PDF. En la versión 2.7.3, el endpoint /API/v1/convert/eml/pdf con el parámetro downloadHtml=true devuelve HTML sin sanear del cuerpo del correo electrónico con Content-Type: text/html. Un atacante que envía un correo electrónico malicioso a un usuario de Stirling-PDF puede lograr la ejecución de JavaScript cuando ese usuario exporta el correo electrónico utilizando la función &amp;#39;Descargar archivo HTML intermedio&amp;#39;. La versión 2.8.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2026
Suscribirse a Vulnerabilidades