Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en tar-rs (CVE-2026-33056)
Fecha de publicación:
20/03/2026
Idioma:
Español
tar-rs es una biblioteca de lectura/escritura de archivos tar para Rust. En las versiones 0.4.44 e inferiores, al desempaquetar un archivo tar, la función `unpack_dir` del crate `tar` utiliza `fs::metadata()` para verificar si una ruta que ya existe es un directorio. Debido a que `fs::metadata()` sigue los enlaces simbólicos, un tarball manipulado que contiene una entrada de enlace simbólico seguida de una entrada de directorio con el mismo nombre hace que el crate trate el destino del enlace simbólico como un directorio existente válido y, posteriormente, le aplique `chmod`. Esto permite a un atacante modificar los permisos de directorios arbitrarios fuera de la raíz de extracción. Este problema ha sido solucionado en la versión 0.4.45.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Tekton Pipelines (CVE-2026-33022)
Fecha de publicación:
20/03/2026
Idioma:
Español
El proyecto Tekton Pipelines proporciona recursos estilo k8s para declarar pipelines estilo CI/CD. Las versiones 0.60.0 a 1.0.0, 1.1.0 a 1.3.2, 1.4.0 a 1.6.0, 1.7.0 a 1.9.0, 1.10.0 y 1.10.1 tienen una vulnerabilidad de denegación de servicio que permite a cualquier usuario que pueda crear un TaskRun o PipelineRun bloquear el controlador en todo el clúster al establecer .spec.taskRef.resolver (o .spec.pipelineRef.resolver) a una cadena de 31 o más caracteres. El bloqueo ocurre porque GenerateDeterministicNameFromSpec produce un nombre que excede el límite de etiqueta DNS-1123 de 63 caracteres, y su lógica de truncamiento entra en pánico en un límite de segmento [-1] ya que el nombre generado no contiene espacios. Una vez bloqueado, el controlador entra en un CrashLoopBackOff al reiniciar (ya que vuelve a reconciliar el recurso infractor), bloqueando toda la reconciliación de CI/CD hasta que el recurso se elimine manualmente. Los resolvedores incorporados (git, cluster, bundles, hub) no se ven afectados debido a sus nombres cortos, pero cualquier nombre de resolvedor personalizado activa el error. La solución trunca el prefijo del nombre del resolvedor en lugar de la cadena completa, preservando el sufijo hash para determinismo y unicidad. Este problema ha sido parcheado en las versiones 1.0.1, 1.3.3, 1.6.1, 1.9.2 y 1.10.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en CKAN MCP Server (CVE-2026-33060)
Fecha de publicación:
20/03/2026
Idioma:
Español
CKAN MCP Server es una herramienta para consultar portales de datos abiertos CKAN. Las versiones anteriores a la 0.4.85 proporcionan herramientas que incluyen ckan_package_search y sparql_query que aceptan un parámetro base_url, realizando solicitudes HTTP a puntos finales arbitrarios sin restricción. Un cliente de portal CKAN no tiene ninguna razón legítima para contactar metadatos de la nube o servicios de red internos. No hay validación de URL en el parámetro base_url. No hay bloqueo de IP privadas (RFC 1918, link-local 169.254.x.x), no hay bloqueo de metadatos de la nube. Las herramientas sparql_query y ckan_datastore_search_sql también aceptan URLs base arbitrarias y exponen superficies de inyección. Un ataque puede conducir a escaneo de red interno, robo de metadatos de la nube (credenciales IAM a través de IMDS en 169.254.169.254), inyección potencial de SQL/SPARQL a través de parámetros de consulta no saneados. El ataque requiere inyección de prompt para controlar el parámetro base_url. Este problema ha sido solucionado en la versión 0.4.85.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2026

Vulnerabilidad en YI Home Camera (CVE-2026-4478)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en Yi Technology YI Home Camera 2 2.1.1_20171024151200. Esto afecta una función desconocida del archivo home/web/ipc del componente Gestor de Actualización de Firmware HTTP. La manipulación lleva a una verificación incorrecta de la firma criptográfica. El ataque es posible de llevar a cabo remotamente. La complejidad de un ataque es bastante alta. La explotabilidad se dice que es difícil. El exploit está disponible públicamente y podría ser usado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/04/2026

Vulnerabilidad en YI Home Camera (CVE-2026-4475)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Yi Technology YI Home Camera 2 2.1.1_20171024151200. El elemento afectado es una función desconocida del archivo home/web/ipc. Dicha manipulación conduce a credenciales codificadas. Se requiere acceso a la red local para que este ataque tenga éxito. El exploit ha sido divulgado al público y puede ser utilizado. El fabricante fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/04/2026

Vulnerabilidad en YI Home Camera (CVE-2026-4476)
Fecha de publicación:
20/03/2026
Idioma:
Español
Se encontró una vulnerabilidad en Yi Technology YI Home Camera 2 2.1.1_20171024151200. El elemento afectado es una función desconocida del archivo home/web/ipc del componente CGI Endpoint. Realizar una manipulación resulta en falta de autenticación. Se requiere acceso a la red local para este ataque. El exploit se ha hecho público y podría ser usado. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en YI Home Camera (CVE-2026-4477)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad fue determinada en Yi Technology YI Home Camera 2 2.1.1_20171024151200. Esto afecta una función desconocida del componente WPA/WPS. Ejecutar una manipulación puede llevar al uso de clave criptográfica codificada de forma rígida. El ataque solo puede realizarse dentro de la red local. Este ataque se caracteriza por alta complejidad. La explotabilidad se reporta como difícil. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Langflow (CVE-2026-33053)
Fecha de publicación:
20/03/2026
Idioma:
Español
Langflow es una herramienta para construir y desplegar agentes y flujos de trabajo impulsados por IA. En versiones anteriores a la 1.9.0, el endpoint delete_api_key_route() acepta un parámetro de ruta api_key_id y lo elimina con solo una verificación de autenticación genérica (dependencia get_current_active_user). Sin embargo, la función CRUD delete_api_key() NO verifica que la clave API pertenezca al usuario actual antes de la eliminación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en tar-rs (CVE-2026-33055)
Fecha de publicación:
20/03/2026
Idioma:
Español
tar-rs es una biblioteca de lectura/escritura de archivos tar para Rust. Las versiones 0.4.44 e inferiores tienen lógica condicional que omite el encabezado de tamaño PAX en los casos en que el tamaño del encabezado base no es cero. Como parte de CVE-2025-62518, el proyecto astral-tokio-tar fue modificado para respetar correctamente los encabezados de tamaño PAX en el caso en que fuera diferente del encabezado base. Esto es casi lo inverso del problema de astral-tokio-tar. Cualquier discrepancia en cómo los analizadores tar respetan el tamaño del archivo puede ser utilizada para crear archivos que aparecen de manera diferente cuando son desempaquetados por diferentes archivadores. En este caso, el 'crate' tar-rs (tar de Rust) es una excepción al verificar el tamaño del encabezado; otros analizadores tar (incluyendo, por ejemplo, Go archive/tar) usan incondicionalmente la anulación de tamaño PAX. Esto puede afectar cualquier cosa que use el 'crate' tar para analizar archivos y espere tener una vista consistente con otros analizadores. Este problema ha sido corregido en la versión 0.4.45.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Mesop (CVE-2026-33054)
Fecha de publicación:
20/03/2026
Idioma:
Español
Mesop es un framework de interfaz de usuario basado en Python que permite a los usuarios construir aplicaciones web. Las versiones 1.2.2 e inferiores contienen una vulnerabilidad de salto de ruta que permite a cualquier usuario que suministre un state_token no confiable a través de la carga útil del flujo de la interfaz de usuario dirigirse arbitrariamente a archivos en el disco bajo el backend de tiempo de ejecución estándar basado en archivos. Esto puede resultar en denegación de servicio de la aplicación (a través de bucles de bloqueo al leer archivos de destino que no son msgpack como configuraciones), o manipulación arbitraria de archivos. Esta vulnerabilidad expone gravemente los sistemas alojados que utilizan FileStateSessionBackend. Actores maliciosos no autorizados podrían interactuar con cargas útiles arbitrarias sobrescribiendo o eliminando explícitamente recursos de servicio subyacentes de forma nativa fuera de los límites de la aplicación. Este problema ha sido solucionado en la versión 1.2.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/03/2026

Vulnerabilidad en University Management System (CVE-2026-4474)
Fecha de publicación:
20/03/2026
Idioma:
Español
Se ha encontrado un fallo en itsourcecode University Management System 1.0. Afecta a una función desconocida del archivo /admin_single_student_update.PHP. Esta manipulación del argumento st_name causa cross site scripting. El ataque puede iniciarse remotamente. El exploit ha sido publicado y puede usarse.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Craft CMS (CVE-2026-33051)
Fecha de publicación:
20/03/2026
Idioma:
Español
Craft CMS es un sistema de gestión de contenido (CMS). En las versiones 5.9.0-beta.1 a 5.9.10, el menú contextual de revisión/borrador en el editor de elementos renderiza el fullName del creador como HTML sin procesar debido al uso de Template::raw() combinado con la interpolación de cadenas de Craft::t(). Un usuario del panel de control con privilegios bajos (por ejemplo, Autor) puede establecer su fullName a una carga útil de XSS a través del editor de perfil, luego crear una entrada con dos guardados. Si un administrador ha iniciado sesión y ejecuta una carga útil específicamente diseñada mientras una sesión elevada está activa, la cuenta del atacante puede ser elevada a administrador. Este problema ha sido solucionado en la versión 5.9.11.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/03/2026
Suscribirse a Vulnerabilidades