Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenClaw (CVE-2026-32067)
Fecha de publicación:
21/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a 2026.2.26 contienen una vulnerabilidad de omisión de autorización en el control de acceso del almacén de emparejamiento para la política de emparejamiento de mensajes directos que permite a los atacantes reutilizar aprobaciones de emparejamiento en múltiples cuentas. Un atacante aprobado como remitente en una cuenta puede ser aceptado automáticamente en otra cuenta en implementaciones multi-cuenta sin aprobación explícita, omitiendo los límites de autorización.
Gravedad CVSS v4.0: BAJA
Última modificación:
24/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32895)
Fecha de publicación:
21/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a 2026.2.26 no aplican la autorización del remitente en los manejadores de eventos del sistema de subtipo de miembro y de mensaje, permitiendo que eventos no autorizados sean encolados. Los atacantes pueden eludir las listas de permitidos de MD de Slack y las listas de permitidos de usuario por canal enviando eventos del sistema desde remitentes no incluidos en la lista de permitidos a través de los eventos message_changed, message_deleted y thread_broadcast.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32896)
Fecha de publicación:
21/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.21 BlueBubbles webhook gestor contienen una ruta de autenticación de respaldo sin contraseña que permite eventos de webhook no autenticados en ciertas configuraciones de proxy inverso o de enrutamiento local. Los atacantes pueden eludir la autenticación de webhook al explotar la heurística de bucle invertido/proxy para enviar eventos de webhook no autenticados al plugin de BlueBubbles.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32897)
Fecha de publicación:
21/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.22 reutilizan gateway.auth.token como un secreto de hash de respaldo para la ofuscación de la solicitud de ID de propietario cuando commands.ownerDisplay está configurado como hash y commands.ownerDisplaySecret no está configurado, creando un doble uso de secretos de autenticación entre dominios de seguridad. Los atacantes con acceso a las solicitudes del sistema enviadas a proveedores de modelos de terceros pueden derivar el token de autenticación de la pasarela de las salidas del hash, comprometiendo la seguridad de la autenticación de la pasarela.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32898)
Fecha de publicación:
21/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.23 contienen una vulnerabilidad de omisión de autorización en el cliente ACP que auto-aprueba las llamadas a herramientas basándose en metadatos toolCall.kind no confiables y heurísticas de nombres permisivas. Los atacantes pueden omitir las solicitudes de aprobación interactivas para operaciones de clase de lectura suplantando metadatos de herramientas o utilizando nombres similares a lectura no centrales para alcanzar rutas de auto-aprobación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32056)
Fecha de publicación:
21/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.22 no sanean las variables de entorno de inicio de shell HOME y ZDOTDIR en la función system.run, lo que permite a los atacantes eludir las protecciones de la lista de comandos permitidos. Los atacantes remotos pueden inyectar archivos de inicio maliciosos como .bash_profile o .zshenv para lograr ejecución de código arbitrario antes de que se ejecuten los comandos evaluados por la lista de permitidos.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32058)
Fecha de publicación:
21/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a 2026.2.26 contienen una debilidad de vinculación de contexto de aprobación en los flujos de ejecución de system.run con host=node que permite la reutilización de solicitudes previamente aprobadas con variables de entorno modificadas. Atacantes con acceso a un ID de aprobación pueden explotar esto reutilizando una aprobación con una entrada de entorno (env) modificada, eludiendo los controles de integridad de ejecución en flujos de trabajo habilitados para aprobación.
Gravedad CVSS v4.0: BAJA
Última modificación:
24/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32064)
Fecha de publicación:
21/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.21, en el punto de entrada del navegador sandbox, lanzan x11vnc sin autenticación para las sesiones de observador de noVNC, permitiendo acceso no autenticado a la interfaz VNC. Atacantes remotos en la interfaz de bucle invertido del host pueden conectarse al puerto noVNC expuesto para observar o interactuar con el navegador sandbox sin credenciales.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32065)
Fecha de publicación:
21/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a 2026.2.25 contienen una vulnerabilidad de omisión de integridad de aprobación en system.run donde el texto del comando renderizado se utiliza como identidad de aprobación mientras se recorta el espacio en blanco del token argv, pero la ejecución en tiempo de ejecución utiliza argv sin procesar. Un atacante puede crear un token ejecutable con espacio final para ejecutar un binario diferente al que mostró el aprobador, permitiendo la ejecución inesperada de comandos bajo el usuario de tiempo de ejecución de OpenClaw cuando pueden influir en el argv del comando y reutilizar un contexto de aprobación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32057)
Fecha de publicación:
21/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.25 contienen una vulnerabilidad de omisión de autenticación en el mecanismo de emparejamiento de la interfaz de usuario de control del proxy de confianza que acepta client.id=control-ui sin la verificación adecuada de la identidad del dispositivo. Un cliente websocket con rol de nodo autenticado puede explotar esto utilizando el identificador de cliente control-ui para omitir los requisitos de emparejamiento y obtener acceso no autorizado a los flujos de ejecución de eventos del nodo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32051)
Fecha de publicación:
21/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a 2026.3.1 contienen una vulnerabilidad de desajuste de autorización que permite a los llamadores autenticados con alcance operator.write invocar superficies de herramientas solo para propietarios, incluyendo gateway y cron, a través de ejecuciones de agente en despliegues de tokens con alcance. Atacantes con acceso de alcance de escritura pueden realizar acciones del plano de control más allá de su nivel de autorización previsto al explotar una restricción inconsistente solo para propietarios durante la ejecución del agente.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-32052)
Fecha de publicación:
21/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.24 contienen una vulnerabilidad de inyección de comandos en el shell-wrapper system.run que permite a los atacantes ejecutar comandos ocultos mediante la inyección de portadores argv posicionales después de cargas útiles de shell en línea. Los atacantes pueden elaborar texto de aprobación engañoso mientras ejecutan comandos arbitrarios a través de argumentos posicionales finales que eluden la validación del contexto de visualización.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026
Suscribirse a Vulnerabilidades