Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WWBN AVideo (CVE-2026-33043)
Fecha de publicación:
20/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, /objects/phpsessionid.json.php expone el ID de sesión PHP actual a cualquier solicitud no autenticada. La función allowOrigin() refleja cualquier encabezado Origin de vuelta en Access-Control-Allow-Origin con Access-Control-Allow-Credentials: true, lo que permite el robo de sesión de origen cruzado y la toma de control total de la cuenta. Este problema ha sido solucionado en la versión 26.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en WWBN AVideo (CVE-2026-33041)
Fecha de publicación:
20/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, /objects/encryptPass.json.php expone el algoritmo de hash de contraseñas de la aplicación a cualquier usuario no autenticado. Un atacante puede enviar contraseñas arbitrarias y recibir sus equivalentes hasheados, lo que permite el cracking de contraseñas offline contra hashes de bases de datos filtrados. Si un atacante obtiene hashes de contraseñas de la base de datos (mediante inyección SQL, exposición de copias de seguridad, etc.), puede descifrarlos instantáneamente comparándolos con hashes precalculados de este endpoint. Este endpoint elimina la necesidad de que un atacante realice ingeniería inversa del algoritmo de hash. Combinado con la débil cadena de hash (md5+whirlpool+sha1, sin salt por defecto), un atacante con acceso a los hashes de la base de datos puede descifrar contraseñas extremadamente rápido. Este problema se solucionó en la versión 26.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en WWBN AVideo (CVE-2026-33039)
Fecha de publicación:
20/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones 25.0 e inferiores, el endpoint plugin/LiveLinks/proxy.php valida las URL proporcionadas por el usuario contra redes internas/privadas utilizando isSSRFSafeURL(), pero solo verifica la URL inicial. Cuando la URL inicial responde con una redirección HTTP (encabezado Location), el objetivo de la redirección se obtiene a través de fakeBrowser() sin revalidación, permitiendo a un atacante alcanzar servicios internos (metadatos de la nube, direcciones RFC1918) a través de una redirección controlada por el atacante. Este problema se corrige en la versión 26.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en Online Doctor Appointment System (CVE-2026-4473)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad fue detectada en itsourcecode Online Doctor Appointment System 1.0. Este problema afecta algún procesamiento desconocido del archivo /admin/appointment_action.php. La manipulación del argumento appointment_id resulta en inyección SQL. El ataque puede ser lanzado remotamente. El exploit es ahora público y puede ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en libp2p-rust (CVE-2026-33040)
Fecha de publicación:
20/03/2026
Idioma:
Español
libp2p-rust es la implementación oficial en lenguaje Rust de la pila de red libp2p. En versiones anteriores a la 0.49.3, la implementación de Gossipsub acepta valores de retroceso PRUNE controlados por el atacante y puede realizar aritmética de tiempo sin verificar al almacenar el estado de retroceso. Un mensaje de control PRUNE especialmente diseñado con un retroceso extremadamente grande (p. ej., u64::MAX) puede provocar un desbordamiento de Duration/Instant durante la lógica de actualización del retroceso, desencadenando un pánico en la máquina de estados de la red. Esto es accesible remotamente a través de una conexión libp2p normal y no requiere autenticación. Cualquier aplicación que exponga un oyente Gossipsub de libp2p y que utilice la ruta de manejo de retroceso afectada puede ser bloqueada por un atacante de red que pueda alcanzar el puerto del servicio. El ataque puede repetirse reconectándose y reproduciendo el mensaje de control diseñado. Este problema ha sido solucionado en la versión 0.49.3.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/05/2026

Vulnerabilidad en WWBN AVideo (CVE-2026-33038)
Fecha de publicación:
20/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. Las versiones 25.0 e inferiores son vulnerables a una toma de control de aplicación no autenticada a través del endpoint install/checkConfiguration.php. install/checkConfiguration.php realiza la inicialización completa de la aplicación: configuración de la base de datos, creación de cuenta de administrador y escritura de archivo de configuración, todo desde una entrada POST no autenticada. La única protección es verificar si videos/configuration.php ya existe. En despliegues no inicializados, cualquier atacante remoto puede completar la instalación con credenciales controladas por el atacante y una base de datos controlada por el atacante, obteniendo acceso administrativo completo. Este problema ha sido solucionado en la versión 26.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en WWBN AVideo (CVE-2026-33037)
Fecha de publicación:
20/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, los archivos oficiales de despliegue de Docker (docker-compose.yml, env.example) se distribuyen con la contraseña de administrador establecida como 'password', que se utiliza automáticamente para inicializar la cuenta de administrador durante la instalación, lo que significa que cualquier instancia desplegada sin sobrescribir SYSTEM_ADMIN_PASSWORD es inmediatamente vulnerable a una toma de control administrativa trivial. No existen controles compensatorios: no hay cambio de contraseña forzado en el primer inicio de sesión, no hay validación de complejidad, no hay detección de contraseña por defecto, y la contraseña se hashea con un MD5 débil. El acceso completo de administrador permite la exposición de datos de usuario, la manipulación de contenido y la potencial ejecución remota de código a través de la carga de archivos y la gestión de plugins. El mismo patrón de valores predeterminados inseguros se extiende a las credenciales de la base de datos (avideo/avideo), lo que agrava el riesgo. La explotación depende de que los operadores no cambien el valor predeterminado, una condición que probablemente se cumpla en despliegues de inicio rápido, demostraciones y automatizados. Este problema ha sido solucionado en la versión 26.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en fast-xml-parser (CVE-2026-33036)
Fecha de publicación:
20/03/2026
Idioma:
Español
fast-xml-parser permite a los usuarios procesar XML desde objetos JS sin bibliotecas basadas en C/C++ ni callbacks. Las versiones 4.0.0-beta.3 hasta la 5.5.5 contienen una vulnerabilidad de bypass donde las referencias de caracteres numéricos (&#NNN;, &#xHH;) y las entidades XML estándar evaden completamente los límites de expansión de entidades (p. ej., maxTotalExpansions, maxExpandedLength) añadidos para corregir CVE-2026-26278, lo que permite la denegación de servicio por expansión de entidades XML. La causa raíz es que replaceEntitiesValue() en OrderedObjParser.js solo aplica el conteo de expansión en entidades definidas en DOCTYPE, mientras que el bucle lastEntities que maneja las entidades numéricas/estándar no realiza ningún conteo. Un atacante que suministre 1M de referencias de entidades numéricas como A puede forzar una asignación de memoria de ~147MB y un uso intensivo de CPU, lo que podría bloquear el proceso, incluso cuando los desarrolladores han configurado límites estrictos. Este problema ha sido corregido en la versión 5.5.6.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en Chall-Manager (CVE-2026-32768)
Fecha de publicación:
20/03/2026
Idioma:
Español
Chall-Manager es un sistema agnóstico de plataforma capaz de iniciar Desafíos bajo demanda de un jugador. En versiones anteriores a la 0.6.5, debido a una NetworkPolicy mal escrita, un actor malicioso puede pivotar desde una instancia a cualquier Pod fuera del espacio de nombres de origen. Esto rompe la propiedad de seguridad por defecto esperada como parte del programa de despliegue, lo que lleva a un movimiento lateral potencial. En el caso específico de SDK/kubernetes.Kompose, no aísla las instancias. Este problema ha sido solucionado en la versión 0.6.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/04/2026

Vulnerabilidad en Online Frozen Foods Ordering System (CVE-2026-4472)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en itsourcecode Online Frozen Foods Ordering System 1.0. Esta vulnerabilidad afecta código desconocido del archivo /admin/admin_edit_supplier.PHP. La manipulación del argumento Supplier_Name lleva a inyección SQL. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en WWBN AVideo (CVE-2026-33035)
Fecha de publicación:
20/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, existe una vulnerabilidad de XSS reflejado que permite a atacantes no autenticados ejecutar JavaScript arbitrario en el navegador de una víctima. La entrada del usuario de un parámetro de URL fluye a través de json_encode() de PHP hacia una función de JavaScript que lo renderiza mediante innerHTML, omitiendo la codificación y logrando la ejecución completa del script. La vulnerabilidad es causada por dos problemas que trabajan juntos: entrada de usuario sin escapar pasada a JavaScript (videoNotFound.php), y innerHTML renderizando etiquetas HTML como DOM ejecutable (script.js). El ataque puede escalarse para robar cookies de sesión, tomar el control de cuentas, suplantar credenciales mediante formularios de inicio de sesión inyectados, propagar cargas útiles auto-propagantes y comprometer cuentas de administrador — todo explotando la falta de sanitización adecuada de la entrada y la seguridad de las cookies (p. ej., la ausencia de la bandera HttpOnly en PHPSESSID). El problema ha sido solucionado en la versión 26.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Online Frozen Foods Ordering System (CVE-2026-4469)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en itsourcecode Online Frozen Foods Ordering System 1.0. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /admin/admin_edit_menu_action.php. Tal manipulación del argumento product_name lleva a inyección SQL. El ataque puede ser realizado desde remoto. El exploit está disponible públicamente y podría ser usado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026
Suscribirse a Vulnerabilidades