Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Online Frozen Foods Ordering System (CVE-2026-4470)
Fecha de publicación:
20/03/2026
Idioma:
Español
Una falla de seguridad ha sido descubierta en itsourcecode Online Frozen Foods Ordering System 1.0. Afectada por este problema es alguna funcionalidad desconocida del archivo /admin/admin_edit_menu.PHP. Realizar una manipulación del argumento product_name resulta en inyección SQL. Es posible iniciar el ataque remotamente. El exploit ha sido liberado al público y puede ser utilizado para ataques.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Online Frozen Foods Ordering System (CVE-2026-4471)
Fecha de publicación:
20/03/2026
Idioma:
Español
Se ha identificado una debilidad en itsourcecode Online Frozen Foods Ordering System 1.0. Esto afecta una parte desconocida del archivo /admin/admin_edit_employee.PHP. La ejecución de una manipulación del argumento First_Name puede conducir a inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha puesto a disposición del público y podría utilizarse para ataques.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Nest (CVE-2026-33011)
Fecha de publicación:
20/03/2026
Idioma:
Español
Nest es un framework para construir aplicaciones escalables de servidor Node.js. En las versiones 11.1.15 e inferiores, una aplicación NestJS que utiliza el middleware GET de @nestjs/platform-fastify puede ser eludida porque Fastify redirige automáticamente las solicitudes HEAD a los gestores GET correspondientes (si existen). Como resultado: el middleware será completamente omitido, la respuesta HTTP no incluirá un cuerpo (ya que la respuesta se trunca al redirigir una solicitud HEAD a un gestor GET), y el gestor real seguirá ejecutándose. Este problema está solucionado en la versión 11.1.16.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en AVideo-Encoder (CVE-2026-33025)
Fecha de publicación:
20/03/2026
Idioma:
Español
AVideo es una plataforma para compartir videos. Las versiones anteriores a la 8.0 contienen una vulnerabilidad de inyección SQL en el método getSqlFromPost() de Object.php. Las claves del array $_POST['sort'] se utilizan directamente como identificadores de columna SQL dentro de una cláusula ORDER BY. Aunque se aplicó real_escape_string(), solo escapa caracteres de contexto de cadena (comillas, bytes nulos) y no proporciona protección para los identificadores SQL — lo que la hace completamente ineficaz aquí. Este problema se ha solucionado en la versión 8.0. Para solucionar este problema sin actualizar, los operadores pueden aplicar una regla de WAF para bloquear solicitudes POST donde cualquier clave sort[*] contenga caracteres fuera de [A-Za-z0-9_]. Alternativamente, restringir el acceso a la vista de cola (queue.json.php, index.php) solo a rangos de IP de confianza.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en AVideo-Encoder (CVE-2026-33024)
Fecha de publicación:
20/03/2026
Idioma:
Español
AVideo es una plataforma para compartir videos. Las versiones anteriores a la 8.0 contienen una vulnerabilidad de falsificación de petición del lado del servidor (CWE-918) en los puntos finales públicos de miniaturas getImage.php y getImageMP4.php. Ambos puntos finales aceptan un parámetro GET base64Url, lo decodifican en base64 y pasan la URL resultante a ffmpeg como fuente de entrada sin ningún requisito de autenticación. La validación previa solo verificaba que la URL fuera sintácticamente válida (FILTER_VALIDATE_URL) y comenzara con http(s)://. Esto es insuficiente: un atacante puede proporcionar URLs como http://169.254.169.254/latest/meta-data/ (metadatos de instancia de AWS/nube), http://192.168.x.x/, o http://127.0.0.1/ para hacer que el servidor acceda a recursos de red internos. La respuesta no se devuelve directamente (ciega), pero las diferencias de tiempo y los registros de errores pueden usarse para inferir resultados. El problema ha sido solucionado en la versión 8.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
24/03/2026

Vulnerabilidad en Micronaut Framework (CVE-2026-33013)
Fecha de publicación:
20/03/2026
Idioma:
Español
Micronaut Framework es un framework Java de pila completa basado en JVM diseñado para construir aplicaciones JVM modulares y fácilmente testeables. Las versiones anteriores a la 4.10.16 y a la 3.10.5 no manejan correctamente el orden descendente de los índices de array durante la vinculación del cuerpo form-urlencoded en JsonBeanPropertyBinder::expandArrayToThreshold, lo que permite a atacantes remotos causar un DoS (bucle no terminante, agotamiento de CPU y OutOfMemoryError) a través de parámetros de formulario indexados manipulados (p. ej., authors[1].name seguido de authors[0].name). Este problema ha sido solucionado en las versiones 4.10.16 y 3.10.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en Micronaut Framework (CVE-2026-33012)
Fecha de publicación:
20/03/2026
Idioma:
Español
Micronaut Framework es un framework Java de pila completa basado en JVM diseñado para construir aplicaciones JVM modulares y fácilmente testeables. Las versiones 4.7.0 a la 4.10.16 usaban una caché ConcurrentHashMap ilimitada sin política de desalojo en su DefaultHtmlErrorResponseBodyProvider. Si la aplicación lanza una excepción cuyo mensaje puede ser influenciado por un atacante, (por ejemplo, incluyendo parámetros de valor de consulta de solicitud) podría ser usado por atacantes remotos para causar un crecimiento de heap ilimitado y OutOfMemoryError, lo que lleva a DoS. Este problema ha sido solucionado en la versión 4.10.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en Langflow (CVE-2026-33017)
Fecha de publicación:
20/03/2026
Idioma:
Español
Langflow es una herramienta para construir y desplegar agentes y flujos de trabajo impulsados por IA. En versiones anteriores a la 1.9.0, el endpoint POST /api/v1/build_public_tmp/{flow_id}/flow permite construir flujos públicos sin requerir autenticación. Cuando se suministra el parámetro opcional data, el endpoint utiliza datos de flujo controlados por el atacante (que contienen código Python arbitrario en las definiciones de nodos) en lugar de los datos de flujo almacenados en la base de datos. Este código se pasa a exec() sin ningún sandboxing, lo que resulta en una ejecución remota de código no autenticada. Esto es distinto de CVE-2025-3248, que corrigió /api/v1/validate/code añadiendo autenticación. El endpoint build_public_tmp está diseñado para no requerir autenticación (para flujos públicos) pero acepta incorrectamente datos de flujo suministrados por el atacante que contienen código ejecutable arbitrario. Este problema ha sido solucionado en la versión 1.9.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
26/03/2026

Vulnerabilidad en ERP (CVE-2026-32954)
Fecha de publicación:
20/03/2026
Idioma:
Español
ERP es una herramienta de Planificación de Recursos Empresariales de código abierto y gratuita. En versiones anteriores a la 16.8.0 y la 15.100.0, ciertos puntos finales eran vulnerables a inyección SQL ciega basada en tiempo y basada en booleanos debido a una validación de parámetros insuficiente, permitiendo a los atacantes inferir información de la base de datos. Este problema ha sido solucionado en las versiones 15.100.0 y 16.8.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en SQLBot (CVE-2026-32949)
Fecha de publicación:
20/03/2026
Idioma:
Español
SQLBot es un sistema inteligente de consulta de datos basado en un modelo de lenguaje grande y RAG. Las versiones anteriores a la 1.7.0 contienen una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) que permite a un atacante recuperar archivos arbitrarios del sistema y de la aplicación del servidor. Un atacante puede explotar el endpoint /api/v1/datasource/check configurando una fuente de datos MySQL falsificada con un parámetro malicioso extraJdbc='local_infile=1'. Cuando el backend de SQLBot intenta verificar la conectividad de esta fuente de datos, un servidor MySQL Rogue controlado por el atacante emite un comando LOAD DATA LOCAL INFILE malicioso durante el handshake de MySQL. Esto obliga al servidor objetivo a leer archivos arbitrarios de su sistema de archivos local (como /etc /passwd o archivos de configuración) y a transmitir el contenido de vuelta al atacante. Este problema fue solucionado en la versión 1.7.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en SQLBot (CVE-2026-32950)
Fecha de publicación:
20/03/2026
Idioma:
Español
SQLBot es un sistema inteligente de consulta de datos basado en un modelo de lenguaje grande y RAG. Las versiones anteriores a la 1.7.0 contienen una vulnerabilidad crítica de inyección SQL en el endpoint /api/v1/datasource/uploadExcel que permite la ejecución remota de código (RCE), lo que permite a cualquier usuario autenticado (incluso el de menor privilegio) comprometer completamente el servidor backend. La causa raíz es doble: los nombres de las hojas de Excel se concatenan directamente en los nombres de las tablas de PostgreSQL sin sanitización (datasource.py#L351), y esos nombres de tablas se incrustan en las sentencias SQL de COPY a través de f-strings en lugar de consultas parametrizadas (datasource.py#L385-L388). Un atacante puede eludir el límite de 31 caracteres para el nombre de la hoja utilizando una técnica de dos etapas: primero, subiendo un archivo normal cuyas filas de datos contengan comandos de shell, y luego, subiendo un archivo manipulado con XML cuyo nombre de hoja inyecte una cláusula TO PROGRAM 'sh' en el SQL. Los impactos confirmados incluyen la ejecución arbitraria de comandos como el usuario postgres (uid=999), la exfiltración de archivos sensibles (p. ej., /etc /passwd, /etc /shadow) y la toma de control completa de la base de datos de PostgreSQL. Este problema ha sido solucionado en la versión 1.7.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/03/2026

Vulnerabilidad en Tillitis TKey Client (CVE-2026-32953)
Fecha de publicación:
20/03/2026
Idioma:
Español
El paquete Tillitis TKey Client es un paquete Go para un cliente TKey. Las versiones 1.2.0 e inferiores contienen un error crítico en el módulo Go tkeyclient que provoca que 1 de cada 256 Secretos Suministrados por el Usuario (USS) sea ignorado silenciosamente, produciendo el mismo Identificador de Dispositivo Compuesto (CDI) —y por lo tanto el mismo material de clave— como si no se proporcionara ningún USS. Esto ocurre porque un error de índice de búfer sobrescribe el booleano USS-enabled con el primer byte del resumen del USS, por lo que cualquier USS cuyo hash comience con 0x00 es efectivamente descartado. Este problema ha sido solucionado en la versión 1.3.0. Los usuarios que no puedan actualizar inmediatamente deberían cambiar a un USS cuyo hash no comience con un byte cero.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/04/2026
Suscribirse a Vulnerabilidades