Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en FileRise (CVE-2026-33070)
Fecha de publicación:
20/03/2026
Idioma:
Español
FileRise es un gestor de archivos web / servidor WebDAV autoalojado. En versiones anteriores a la 3.8.0, una vulnerabilidad de autenticación faltante en el endpoint deleteShareLink permite a cualquier usuario no autenticado eliminar enlaces de archivos compartidos arbitrarios proporcionando solo el token de compartición, causando denegación de servicio al acceso a archivos compartidos. El endpoint POST /api/file/deleteShareLink.php llama a FileController::deleteShareLink() que no realiza ninguna autenticación, autorización o validación CSRF antes de eliminar un enlace de compartición. Cualquier cliente HTTP anónimo puede destruir enlaces de compartición. Este problema está solucionado en la versión 3.8.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
23/03/2026

Vulnerabilidad en FileRise (CVE-2026-33071)
Fecha de publicación:
20/03/2026
Idioma:
Español
FileRise es un gestor de archivos web autoalojado / servidor WebDAV. En versiones anteriores a la 3.8.0, el endpoint de carga WebDAV acepta cualquier extensión de archivo incluyendo .phtml, .php5, .htaccess, y otros tipos ejecutables del lado del servidor, eludiendo la validación de nombre de archivo impuesta por la ruta de carga regular. En despliegues no predeterminados que carecen de la protección LocationMatch de Apache, esto lleva a la ejecución remota de código. Cuando los archivos se cargan a través de WebDAV, el método createFile() en FileRiseDirectory.php y el método put() en FileRiseFile.php aceptan el nombre de archivo directamente del cliente WebDAV sin ninguna validación. En contraste, el endpoint de carga regular en UploadModel::upload() valida los nombres de archivo contra REGEX_FILE_NAME. Este problema está solucionado en la versión 3.8.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en FastGPT (CVE-2026-33075)
Fecha de publicación:
20/03/2026
Idioma:
Español
FastGPT es una plataforma de creación de agentes de IA. En las versiones 4.14.8.3 e inferiores, el flujo de trabajo fastgpt-preview-image.yml es vulnerable a la ejecución de código arbitrario y a la exfiltración de secretos por cualquier colaborador externo. Utiliza pull_request_target (que se ejecuta con acceso a los secretos del repositorio) pero extrae código del fork del autor de la solicitud de extracción, luego construye y envía imágenes Docker utilizando Dockerfiles controlados por el atacante. Esto también permite un ataque a la cadena de suministro a través del registro de contenedores de producción. Un parche no estaba disponible en el momento de la publicación.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/03/2026

Vulnerabilidad en FileRise (CVE-2026-33072)
Fecha de publicación:
20/03/2026
Idioma:
Español
FileRise es un gestor de archivos web autoalojado / servidor WebDAV. En versiones anteriores a la 3.9.0, se utiliza una clave de cifrado predeterminada codificada de forma rígida (default_please_change_this_key) para todas las operaciones criptográficas — generación de tokens HMAC, cifrado de configuración AES y tokens de sesión — permitiendo a cualquier atacante no autenticado forjar tokens de carga para la subida arbitraria de archivos a carpetas compartidas, y descifrar secretos de configuración de administrador, incluidos secretos de cliente OIDC y contraseñas SMTP. FileRise usa una única clave (PERSISTENT_TOKENS_KEY) para todas las operaciones criptográficas. El valor predeterminado default_please_change_this_key está codificado de forma rígida en dos lugares y se utiliza a menos que el implementador anule explícitamente la variable de entorno. Este problema está solucionado en la versión 3.9.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en Claude Code (CVE-2026-33068)
Fecha de publicación:
20/03/2026
Idioma:
Español
Claude Code es una herramienta de codificación agéntica. Las versiones anteriores a la 2.1.53 resolvían el modo de permiso a partir de archivos de configuración, incluyendo el .claude/settings.json controlado por el repositorio, antes de determinar si mostrar el diálogo de confirmación de confianza del espacio de trabajo. Un repositorio malicioso podría establecer permissions.defaultMode a bypassPermissions en su .claude/settings.json confirmado, causando que el diálogo de confianza se omitiera silenciosamente en la primera apertura. Esto permitía que un usuario fuera colocado en un modo permisivo sin ver la solicitud de confirmación de confianza, facilitando que un repositorio controlado por un atacante obtuviera la ejecución de la herramienta sin el consentimiento explícito del usuario. Este problema ha sido parcheado en la versión 2.1.53.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en ilGhera Carta Docente (CVE-2026-2421)
Fecha de publicación:
20/03/2026
Idioma:
Español
El plugin ilGhera Carta Docente para WooCommerce para WordPress es vulnerable a salto de ruta en todas las versiones hasta la 1.5.0, inclusive, a través del parámetro 'cert' de la acción AJAX 'wccd-delete-certificate'. Esto se debe a una validación insuficiente de la ruta del archivo antes de realizar una eliminación de archivo. Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador o superior, eliminen archivos arbitrarios en el servidor, como wp-config.php, lo que puede hacer posible la toma de control del sitio y la ejecución remota de código.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en CM Custom Reports (CVE-2026-2432)
Fecha de publicación:
20/03/2026
Idioma:
Español
El plugin CM Custom Reports – Flexible reporting to track what matters most para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración de administrador en todas las versiones hasta la 1.2.7, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multisitio e instalaciones donde se ha deshabilitado unfiltered_html.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en Qwik (CVE-2026-32701)
Fecha de publicación:
20/03/2026
Idioma:
Español
Qwik es un framework de JavaScript centrado en el rendimiento. Las versiones anteriores a la 1.19.2 inferían incorrectamente arrays a partir de nombres de campos de formulario con puntos durante el análisis de FormData. Al enviar claves de índice de array y de propiedad de objeto mezcladas para la misma ruta, un atacante podría hacer que las propiedades controladas por el usuario se escribieran sobre valores que el código de la aplicación esperaba que fueran arrays. Al procesar solicitudes application/x-www-form-urlencoded o multipart/form-data, Qwik City convertía los nombres de campo con puntos (p. ej., items.0, items.1) en estructuras anidadas. Si una ruta se interpretaba como un array, claves adicionales proporcionadas por el atacante en esa ruta —como items.toString, items.push, items.valueOf o items.length— podrían alterar el valor resultante del lado del servidor de formas inesperadas, lo que podría llevar a fallos en el manejo de solicitudes, denegación de servicio a través de un estado de array malformado o longitudes excesivas, y confusión de tipos en el código subsiguiente. Este problema se solucionó en la versión 1.19.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en SiYuan (CVE-2026-33066)
Fecha de publicación:
20/03/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. En las versiones 3.6.0 e inferiores, la función renderREADME del backend utiliza lute.New() sin llamar a SetSanitize(true), lo que permite que el HTML sin procesar incrustado en Markdown pase sin modificar. El frontend luego asigna el HTML renderizado a innerHTML sin ninguna sanitización adicional. Un autor de paquete malicioso puede incrustar JavaScript arbitrario en su README que se ejecuta cuando un usuario hace clic para ver los detalles del paquete. Debido a que la configuración de Electron de SiYuan habilita nodeIntegration: true con contextIsolation: false, este XSS escala directamente a la ejecución remota de código completa. El problema fue parcheado en la versión 3.6.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en SiYuan (CVE-2026-33067)
Fecha de publicación:
20/03/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Las versiones 3.6.0 e inferiores renderizan los campos de metadatos del paquete (displayName, description) utilizando literales de plantilla sin escape HTML. Un autor de paquete malicioso puede inyectar HTML/JavaScript arbitrario en estos campos, lo que se ejecuta automáticamente cuando cualquier usuario navega por la página de Bazaar. Debido a que la configuración de Electron de SiYuan habilita nodeIntegration: true con contextIsolation: false, este XSS escala directamente a la ejecución remota de código completa en el sistema operativo de la víctima — con cero interacción del usuario más allá de abrir la pestaña del marketplace. Este problema ha sido solucionado en la versión 3.6.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Linux (CVE-2026-23275)
Fecha de publicación:
20/03/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> io_uring: asegurar que ctx-&amp;gt;rings sea estable para la manipulación de las banderas de trabajo de tarea<br /> <br /> Si se usa DEFER_TASKRUN | SETUP_TASKRUN y se añade trabajo de tarea mientras el anillo está siendo redimensionado, es posible que la operación OR de IORING_SQ_TASKRUN ocurra en la pequeña ventana de intercambio a los nuevos anillos y la liberación de los anillos antiguos.<br /> <br /> Esto se previene añadiendo un segundo puntero -&amp;gt;rings, -&amp;gt;rings_rcu, el cual está protegido por RCU. La manipulación de las banderas de trabajo de tarea ya está dentro de RCU, y si la liberación del anillo redimensionado se realiza después de una sincronización RCU, entonces no hay necesidad de añadir bloqueo a la ruta rápida de las adiciones de trabajo de tarea.<br /> <br /> Nota: esto solo se hace para DEFER_TASKRUN, ya que ese es el único modo de configuración que soporta el redimensionamiento de anillos. Si esto alguna vez cambia, entonces ellos también necesitarán usar la función auxiliar io_ctx_mark_taskrun().
Gravedad: Pendiente de análisis
Última modificación:
20/03/2026

Vulnerabilidad en Stirling-PDF (CVE-2026-27625)
Fecha de publicación:
20/03/2026
Idioma:
Español
Stirling-PDF es una aplicación web alojada localmente que realiza diversas operaciones en archivos PDF. En versiones anteriores a la 2.5.2, el endpoint /API/v1/convert/markdown/pdf extrae entradas ZIP proporcionadas por el usuario sin comprobaciones de ruta. Cualquier usuario autenticado puede escribir archivos fuera del directorio de trabajo temporal previsto, lo que lleva a la escritura arbitraria de archivos con los privilegios del usuario del proceso de Stirling-PDF (stirlingpdfuser). Esto puede sobrescribir archivos escribibles y comprometer la integridad de los datos, con un impacto adicional dependiendo de las rutas escribibles. El problema se solucionó en la versión 2.5.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026
Suscribirse a Vulnerabilidades