Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en MailEnable (CVE-2026-32850)
Fecha de publicación:
23/03/2026
Idioma:
Español
Versiones de MailEnable anteriores a la 10.55 contienen una vulnerabilidad de cross-site scripting reflejado en la interfaz de webmail que permite a atacantes remotos ejecutar JavaScript arbitrario en el navegador de una víctima al crear una URL maliciosa. Los atacantes pueden inyectar código malicioso a través del parámetro SelectedIndex en el formulario ManageShares.aspx, que no se sanea correctamente antes de ser incrustado en JavaScript generado dinámicamente.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en craft-sprig de putyourlightson (CVE-2026-27131)
Fecha de publicación:
23/03/2026
Idioma:
Español
El plugin Sprig para Craft CMS es un framework de componentes Twig reactivo para Craft CMS. A partir de la versión 2.0.0 y antes de las versiones 2.15.2 y 3.15.2, los usuarios administradores, y los usuarios con permiso explícito para acceder al Sprig Playground, podrían exponer potencialmente la clave de seguridad, las credenciales y otros datos de configuración sensibles, además de ejecutar la función de firma 'hashData()'. Este problema se mitigó en las versiones 3.15.2 y 2.15.2 al deshabilitar completamente el acceso al Sprig Playground cuando 'devMode' está deshabilitado, por defecto. Es posible anular este comportamiento utilizando una nueva 'enablePlaygroundWhenDevModeDisabled' que por defecto es 'false'.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Marketing Cloud Engagement de Salesforce (CVE-2026-2298)
Fecha de publicación:
23/03/2026
Idioma:
Español
Neutralización Inadecuada de Delimitadores de Argumentos en un Comando ('Inyección de Argumentos') vulnerabilidad en Salesforce Marketing Cloud Engagement permite la Manipulación del Protocolo de Servicios Web. Este problema afecta a Marketing Cloud Engagement: antes del 30 de enero de 2026.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/03/2026

Vulnerabilidad en mantisbt (CVE-2026-30849)
Fecha de publicación:
23/03/2026
Idioma:
Español
Mantis Bug Tracker (MantisBT) es un rastreador de problemas de código abierto. Las versiones anteriores a la 2.28.1 que se ejecutan en bases de datos de la familia MySQL están afectadas por una vulnerabilidad de omisión de autenticación en la API SOAP, como resultado de una comprobación de tipo incorrecta en el parámetro de contraseña. Otros backends de base de datos no están afectados, ya que no realizan conversión de tipo implícita de cadena a entero. Usando un sobre SOAP manipulado, un atacante que conoce el nombre de usuario de la víctima puede iniciar sesión en la API SOAP con su cuenta sin conocimiento de la contraseña real, y ejecutar cualquier función de la API a la que tenga acceso. La versión 2.28.1 contiene un parche. Deshabilitar la API SOAP reduce significativamente el riesgo, pero aún permite al atacante recuperar información de la cuenta de usuario, incluyendo la dirección de correo electrónico y el nombre real.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/03/2026

Vulnerabilidad en new-api de QuantumNous (CVE-2026-30886)
Fecha de publicación:
23/03/2026
Idioma:
Español
Nueva API es una pasarela de modelo de lenguaje grande (LLM) y un sistema de gestión de activos de inteligencia artificial (IA). Antes de la versión 0.11.4-alpha.2, una vulnerabilidad de Referencia Directa Insegura a Objeto (IDOR) en el endpoint de proxy de video ('GET /v1/videos/:task_id/content') permite a cualquier usuario autenticado acceder a contenido de video perteneciente a otros usuarios y hace que el servidor se autentique con proveedores de IA ascendentes (Google Gemini, OpenAI) utilizando credenciales derivadas de tareas que no poseen. La comprobación de autorización faltante es una única llamada a función — 'model.GetByOnlyTaskId(taskID)' consulta solo por 'task_id' sin filtro de 'user_id', mientras que cada otra búsqueda de tarea en la base de código impone la propiedad a través de 'model.GetByTaskId(userId, taskID)'. La versión 0.11.4-alpha.2 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en Znuny::ITSM (CVE-2025-52204)
Fecha de publicación:
23/03/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) existe en Znuny::ITSM 6.5.x en el endpoint customer.pl a través del parámetro OTRSCustomerInterface
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Tiki (CVE-2024-46878)
Fecha de publicación:
23/03/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) existe en el parámetro 'page' de tiki-editpage.PHP en Tiki versión 26.3 y anteriores. Esta vulnerabilidad permite a los atacantes ejecutar código JavaScript arbitrario mediante una carga útil manipulada, lo que puede llevar a un acceso potencial a información sensible o acciones no autorizadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en zipPath (CVE-2024-46879)
Fecha de publicación:
23/03/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) reflejado existe en los datos de la solicitud POST zipPath de tiki-admin_system.php en la versión 21.2 de Tiki. Esta vulnerabilidad permite a los atacantes ejecutar código JavaScript arbitrario a través de una carga útil manipulada, lo que puede llevar a un acceso potencial a información sensible o acciones no autorizadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Exam Form Submission de code-projects (CVE-2026-4595)
Fecha de publicación:
23/03/2026
Idioma:
Español
Se determinó una vulnerabilidad en code-projects Exam Form Submission 1.0. Esta vulnerabilidad afecta código desconocido del archivo /admin/update_s6.php. La ejecución de una manipulación del argumento sname puede llevar a cross site scripting. El ataque puede lanzarse remotamente. El exploit ha sido divulgado públicamente y puede utilizarse. Si desea obtener la mejor calidad para los datos de vulnerabilidad, entonces siempre debe considerar VulDB.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en AVideo de WWBN (CVE-2026-33719)
Fecha de publicación:
23/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, los endpoints del plugin CDN 'plugin/CDN/status.json.php' y 'plugin/CDN/disable.json.php' usan autenticación basada en clave con una clave predeterminada de cadena vacía. Cuando el plugin CDN está habilitado pero la clave no ha sido configurada (el estado predeterminado), la verificación de validación de clave es completamente omitida, permitiendo a cualquier atacante no autenticado modificar la configuración completa del CDN — incluyendo URLs de CDN, credenciales de almacenamiento y la propia clave de autenticación — a través de asignación masiva mediante el parámetro de solicitud 'par'. El commit adeff0a31ba04a56f411eef256139fd7ed7d4310 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en AVideo de WWBN (CVE-2026-33717)
Fecha de publicación:
23/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, la función `downloadVideoFromDownloadURL()` en `objects/aVideoEncoder.json.php` guarda contenido remoto en un directorio temporal accesible por web usando el nombre de archivo y la extensión de la URL original (incluyendo '.php'). Al proporcionar un parámetro `resolution` inválido, un atacante desencadena un `die()` temprano a través de `forbiddenPage()` antes de que el archivo temporal pueda ser movido o limpiado, dejando un archivo PHP ejecutable persistentemente accesible bajo la raíz web en `videos/cache/tmpFile/`. El commit 6da79b43484099a0b660d1544a63c07b633ed3a2 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en AVideo de WWBN (CVE-2026-33716)
Fecha de publicación:
23/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, el endpoint de control de transmisión en vivo independiente en 'plugin/Live/standAloneFiles/control.json.php' acepta un parámetro 'streamerURL' proporcionado por el usuario que anula dónde el servidor envía las solicitudes de verificación de token. Un atacante puede redirigir la verificación de token a un servidor que controlan que siempre devuelve '{"error": false}', eludiendo completamente la autenticación. Esto otorga control no autenticado sobre cualquier transmisión en vivo en la plataforma, incluyendo la desconexión de publicadores activos, el inicio/parada de grabaciones y la sondeo de la existencia de transmisiones. El commit 388fcd57dbd16f6cb3ebcdf1d08cf2b929941128 contiene un parche.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/03/2026
Suscribirse a Vulnerabilidades