Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Iperius Backup de Enter Software (CVE-2026-4822)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad fue detectada en Enter Software Iperius Backup hasta 8.7.3. Afecta a una función desconocida del archivo C:\ProgramData\IperiusBackup\Jobs\ del componente Backup Service. Realizar una manipulación resulta en la creación de un archivo temporal con permisos inseguros. El ataque solo es posible con acceso local. Un alto grado de complejidad es necesario para el ataque. La explotabilidad se dice que es difícil. El exploit ahora es público y puede ser utilizado. La actualización a la versión 8.7.4 puede solucionar este problema. Se recomienda actualizar el componente afectado. El proveedor fue contactado tempranamente, respondió de una manera muy profesional y rápidamente lanzó una versión corregida del producto afectado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en nats-server de nats-io (CVE-2026-33249)
Fecha de publicación:
25/03/2026
Idioma:
Español
NATS-Server es un servidor de alto rendimiento para NATS.io, un sistema de mensajería nativo de la nube y del borde. A partir de la versión 2.11.0 y antes de las versiones 2.11.15 y 2.12.6, un cliente válido que utiliza encabezados de rastreo de mensajes puede indicar que los mensajes de rastreo pueden enviarse a un asunto válido arbitrario, incluidos aquellos para los que el cliente no tiene permiso de publicación. La carga útil es un mensaje de rastreo válido y no es elegido por el atacante. Las versiones 2.11.15 y 2.12.6 contienen una corrección. No hay soluciones alternativas conocidas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en nats-server de nats-io (CVE-2026-33248)
Fecha de publicación:
25/03/2026
Idioma:
Español
NATS-Server es un servidor de alto rendimiento para NATS.io, un sistema de mensajería nativo de la nube y del *edge*. Antes de las versiones 2.11.15 y 2.12.6, al usar mTLS para la identidad del cliente, con 'verify_and_map' para derivar una identidad NATS del DN del Asunto del certificado del cliente, ciertos patrones de RDN no se aplicarían correctamente, permitiendo la omisión de autenticación. Esto requiere un certificado válido de una CA ya confiable para certificados de cliente, y patrones de nombres de 'DN' que los mantenedores de NATS consideran altamente improbables. Por lo tanto, este es un ataque improbable. No obstante, los administradores que han sido muy sofisticados en sus patrones de construcción de 'DN' podrían verse afectados. Las versiones 2.11.15 y 2.12.6 contienen una corrección. Como solución alternativa, los desarrolladores deberían revisar sus prácticas de emisión de CA.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en nats-server de nats-io (CVE-2026-33222)
Fecha de publicación:
25/03/2026
Idioma:
Español
NATS-Server es un servidor de alto rendimiento para NATS.io, un sistema de mensajería nativo de la nube y del borde. Antes de las versiones 2.11.15 y 2.12.6, los usuarios con acceso a la API de administración de JetStream para restaurar un stream podían restaurar a otros nombres de stream, lo que afectaba a los datos que deberían haber estado protegidos contra ellos. Las versiones 2.11.15 y 2.12.6 contienen una corrección. Como solución alternativa, si los desarrolladores han configurado a los usuarios para tener permisos limitados de restauración de JetStream, eliminen temporalmente esos permisos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en nats-server de nats-io (CVE-2026-33223)
Fecha de publicación:
25/03/2026
Idioma:
Español
NATS-Server es un servidor de alto rendimiento para NATS.io, un sistema de mensajería nativo de la nube y del borde. Antes de las versiones 2.11.15 y 2.12.6, la cabecera de mensaje de NATS 'Nats-Request-Info:' se supone que es una garantía de identidad por parte del servidor NATS, pero la eliminación de esta cabecera de los mensajes entrantes no fue completamente efectiva. Un atacante con credenciales válidas para cualquier interfaz de cliente regular podría así suplantar su identidad a servicios que dependen de esta cabecera. Las versiones 2.11.15 y 2.12.6 contienen una solución. No hay soluciones alternativas conocidas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Sonarr (CVE-2026-30976)
Fecha de publicación:
25/03/2026
Idioma:
Español
Sonarr es un PVR para usuarios de Usenet y BitTorrent. En versiones de la rama 4.x anteriores a la 4.0.17.2950, un atacante remoto no autenticado puede leer potencialmente cualquier archivo legible por el proceso de Sonarr. Estos incluyen archivos de configuración de la aplicación (que contienen claves de API y credenciales de base de datos), archivos del sistema de Windows y cualquier archivo accesible por el usuario en la misma unidad. Este problema solo afecta a los sistemas Windows; macOS y Linux no se ven afectados. Los archivos devueltos desde la API no estaban limitados al directorio en disco desde el que se suponía que debían servirse. Este problema ha sido parcheado en la versión 4.0.17.2950 en la rama nightly/develop o en la 4.0.17.2952 para las versiones stable/main. Es posible solucionar el problema alojando Sonarr únicamente en una red interna segura y accediéndolo a través de VPN, Tailscale o una solución similar fuera de esa red.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2026

Vulnerabilidad en Sonarr (CVE-2026-30975)
Fecha de publicación:
25/03/2026
Idioma:
Español
Sonarr es un PVR para usuarios de Usenet y BitTorrent. Las versiones anteriores a la 4.0.16.2942 tienen una omisión de autenticación que afectaba a los usuarios que habían deshabilitado la autenticación para direcciones locales (Autenticación Requerida configurada como: 'Deshabilitada para Direcciones Locales') sin un proxy inverso ejecutándose delante de Sonarr que sí pasara la cabecera inválida. Los parches están disponibles en la versión 4.0.16.2942 en la rama nightly/develop y en la versión 4.0.16.2944 para las versiones stable/main. Algunas soluciones alternativas están disponibles. Asegúrese de que la configuración 'Autenticación Requerida' de Sonarr esté establecida en 'Habilitada', ejecute Sonarr detrás de un proxy inverso, y/o no exponga Sonarr directamente a internet y, en su lugar, confíe en acceder a él a través de una VPN, Tailscale o una solución similar.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en InfoSphere Information Server de IBM (CVE-2026-2485)
Fecha de publicación:
25/03/2026
Idioma:
Español
IBM Infosphere Information Server 11.7.0.0 hasta 11.7.1.6 es vulnerable a cross-site scripting almacenado. Esta vulnerabilidad permite a un usuario privilegiado incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría llevar a la divulgación de credenciales dentro de una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en InfoSphere Information Server de IBM (CVE-2026-2484)
Fecha de publicación:
25/03/2026
Idioma:
Español
IBM InfoSphere Information Server 11.7.0.0 hasta 11.7.1.6 se ve afectado por una vulnerabilidad de exposición de información causada por mensajes de error excesivamente detallados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en InfoSphere Information Server de IBM (CVE-2026-2483)
Fecha de publicación:
25/03/2026
Idioma:
Español
IBM InfoSphere Information Server 11.7.0.0 hasta 11.7.1.6 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista y potencialmente llevando a la divulgación de credenciales dentro de una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en WebSphere Application Server Liberty de IBM (CVE-2026-1561)
Fecha de publicación:
25/03/2026
Idioma:
Español
IBM WebSphere Servidor de aplicaciones - Liberty 17.0.0.3 hasta 26.0.0.3 IBM WebSphere Servidor de aplicaciones Liberty es vulnerable a falsificación de petición del lado del servidor (SSRF). Esto puede permitir a un atacante remoto enviar peticiones no autorizadas desde el sistema, lo que podría llevar a la enumeración de red o facilitar otros ataques.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en InfoSphere Information Server de IBM (CVE-2026-1262)
Fecha de publicación:
25/03/2026
Idioma:
Español
IBM InfoSphere Information Server 11.7.0.0 hasta 11.7.1.6 está afectado por una vulnerabilidad de revelación de información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026
Suscribirse a Vulnerabilidades