Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en parse-server (CVE-2026-30941)
Fecha de publicación:
10/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 8.6.14 y 9.5.2-alpha.1, una vulnerabilidad de inyección NoSQL permite a un atacante no autenticado inyectar operadores de consulta de MongoDB a través del campo 'token' en los puntos finales de restablecimiento de contraseña y reenvío de verificación de correo electrónico. El valor del token se pasa a las consultas de la base de datos sin validación de tipo y puede ser utilizado para extraer tokens de restablecimiento de contraseña y verificación de correo electrónico. Cualquier despliegue de Parse Server que utilice MongoDB con la verificación de correo electrónico o el restablecimiento de contraseña habilitados se ve afectado. Cuando 'emailVerifyTokenReuseIfValid' está configurado, el token de verificación de correo electrónico puede ser completamente extraído y utilizado para verificar la dirección de correo electrónico de un usuario sin acceso a la bandeja de entrada. Esta vulnerabilidad está corregida en 8.6.14 y 9.5.2-alpha.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en parse-server (CVE-2026-30939)
Fecha de publicación:
10/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 8.6.13 y 9.5.1-alpha.2, un atacante no autenticado puede bloquear el proceso de Parse Server al llamar a un endpoint de función en la nube con un nombre de propiedad de prototipo como nombre de la función. El servidor entra en recursión infinita, causando un error de tamaño de pila de llamadas que termina el proceso. Otros nombres de propiedades de prototipo eluden la validación de despacho de funciones en la nube y devuelven respuestas HTTP 200, aunque no haya funciones en la nube definidas. Lo mismo se aplica al recorrido por notación de puntos. Todas las implementaciones de Parse Server que exponen el endpoint de función en la nube se ven afectadas. Esta vulnerabilidad está corregida en 8.6.13 y 9.5.1-alpha.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en parse-server (CVE-2026-30938)
Fecha de publicación:
10/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.12 y 9.5.1-alpha.1, el control de seguridad requestKeywordDenylist puede ser eludido al colocar cualquier objeto o array anidado antes de una palabra clave prohibida en la carga útil de la solicitud. Esto es causado por un error de lógica que detiene el escaneo de claves hermanas después de encontrar el primer valor anidado. Cualquier entrada personalizada de requestKeywordDenylist configurada por el desarrollador es igualmente eludible utilizando la misma técnica. Todas las implementaciones de Parse Server están afectadas. El requestKeywordDenylist está habilitado por defecto. Esta vulnerabilidad está corregida en las versiones 8.6.12 y 9.5.1-alpha.1. Utilice un disparador beforeSave de Cloud Code para validar los datos entrantes en busca de palabras clave prohibidas en todas las clases.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en filebrowser de gtsteffaniak (CVE-2026-30934)
Fecha de publicación:
10/03/2026
Idioma:
Español
FileBrowser Quantum es un gestor de archivos gratuito, autoalojado y basado en web. Antes de 1.3.1-beta y 1.2.2-stable, es posible un XSS Almacenado a través de campos de metadatos de compartición (p. ej., título, descripción) que se renderizan en HTML para /public/share/ sin escape sensible al contexto. El servidor utiliza text/template en lugar de html/template, permitiendo que los scripts inyectados se ejecuten cuando las víctimas visitan la URL de compartición. Esta vulnerabilidad está corregida en 1.3.1-beta y 1.2.2-stable.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en filebrowser de gtsteffaniak (CVE-2026-30933)
Fecha de publicación:
10/03/2026
Idioma:
Español
FileBrowser Quantum es un gestor de archivos gratuito, autoalojado y basado en web. Antes de 1.3.1-beta y 1.2.2-stable, la remediación para CVE-2026-27611 es incompleta. Las comparticiones protegidas con contraseña aún revelan el downloadURL tokenizado a través de /public/API/share/info. Esta vulnerabilidad está corregida en 1.3.1-beta y 1.2.2-stable.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en glances de nicolargo (CVE-2026-30928)
Fecha de publicación:
10/03/2026
Idioma:
Español
Glances es una herramienta de monitorización de sistemas multiplataforma de código abierto. Antes de la versión 4.5.1, el endpoint de la API REST /api/4/config devuelve el archivo de configuración de Glances (glances.conf) completo y parseado a través de self.config.as_dict() sin filtrar valores sensibles. El archivo de configuración contiene credenciales para todos los servicios de backend configurados, incluyendo contraseñas de bases de datos, tokens de API, claves de firma JWT y contraseñas de claves SSL. Esta vulnerabilidad está corregida en la versión 4.5.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en glances de nicolargo (CVE-2026-30930)
Fecha de publicación:
10/03/2026
Idioma:
Español
Glances es una herramienta de monitoreo de sistema de código abierto multiplataforma. Antes de la versión 4.5.1, el módulo de exportación de TimescaleDB construye consultas SQL utilizando concatenación de cadenas con datos de monitoreo del sistema no saneados. El método normalize() envuelve los valores de cadena entre comillas simples pero no escapa las comillas simples incrustadas, lo que hace que la inyección SQL sea trivial a través de datos controlados por el atacante, como nombres de procesos, puntos de montaje del sistema de archivos, nombres de interfaces de red o nombres de contenedores. Esta vulnerabilidad se corrige en la versión 4.5.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/04/2026

Vulnerabilidad en FortiWeb de Fortinet (CVE-2026-30897)
Fecha de publicación:
10/03/2026
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer basado en pila en Fortinet FortiWeb 8.0.0 hasta 8.0.3, FortiWeb 7.6.0 hasta 7.6.6, FortiWeb 7.4.0 hasta 7.4.11, FortiWeb 7.2 todas las versiones, FortiWeb 7.0 todas las versiones puede permitir a un atacante remoto autenticado que puede eludir la protección de pila y ASLR ejecutar código o comandos arbitrarios mediante solicitudes HTTP manipuladas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en vaadin (CVE-2026-2742)
Fecha de publicación:
10/03/2026
Idioma:
Español
Una vulnerabilidad de omisión de autenticación existe en Vaadin 14.0.0 hasta 14.14.0, 23.0.0 hasta 23.6.6, 24.0.0 hasta 24.9.7 y 25.0.0 hasta 25.0.1, aplicaciones que usan Spring Security debido a la coincidencia inconsistente de patrones de ruta de las rutas reservadas del framework.<br /> <br /> Acceder al endpoint /VAADIN sin una barra diagonal final omite los filtros de seguridad, y permite a los usuarios no autenticados activar la inicialización del framework y crear sesiones sin la autorización adecuada.<br /> <br /> Los usuarios de las versiones afectadas que usan Spring Security deben actualizar de la siguiente manera: 14.0.0-14.14.0 actualizar a 14.14.1, 23.0.0-23.6.6 a 23.6.7, 24.0.0 - 24.9.7 a 24.9.8, y 25.0.0-25.0.1 actualizar a 25.0.2 o más reciente.<br /> <br /> Tenga en cuenta que las versiones de Vaadin 10-13 y 15-22 ya no son compatibles y debe actualizar a la última versión 14, 23, 24 o 25.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en EcoStruxure™ Automation Expert de Schneider Electric (CVE-2026-2273)
Fecha de publicación:
10/03/2026
Idioma:
Español
CWE-94: Existe una vulnerabilidad de Control inadecuado de la generación de código (&amp;#39;Inyección de código&amp;#39;) que podría causar la ejecución de comandos no confiables en la estación de trabajo de ingeniería, lo que podría resultar en un compromiso limitado de la estación de trabajo y una posible pérdida de Confidencialidad, Integridad y Disponibilidad del sistema subsiguiente cuando un usuario autenticado abre un archivo de proyecto malicioso.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en vaadin (CVE-2026-2741)
Fecha de publicación:
10/03/2026
Idioma:
Español
Archivos ZIP especialmente diseñados pueden escapar del directorio de extracción previsto durante la descarga y extracción de Node.js en Vaadin 14.2.0 hasta 14.14.0, 23.0.0 hasta 23.6.6, 24.0.0 hasta 24.9.8, y 25.0.0 hasta 25.0.2.<br /> <br /> El proceso de compilación de Vaadin puede descargar y extraer Node.js automáticamente si no está instalado localmente. Si un atacante puede interceptar o controlar esta descarga a través de secuestro de DNS, un ataque MitM, un espejo comprometido o un ataque a la cadena de suministro, pueden servir un archivo malicioso que contiene secuencias de salto de ruta que escriben archivos fuera del directorio de extracción previsto.<br /> <br /> Los usuarios de las versiones afectadas deben usar una versión de Node.js preinstalada globalmente compatible con su versión de Vaadin, o actualizar de la siguiente manera: 14.2.0-14.14.0 a 14.14.1, 23.0.0-23.6.6 a 23.6.7, 24.0.0-24.9.8 a 24.9.9, y 25.0.0-25.0.2 a 25.0.3 o más reciente.<br /> <br /> Tenga en cuenta que las versiones de Vaadin 10-13 y 15-22 ya no son compatibles y debe actualizar a la última versión 14, 23, 24 o 25.
Gravedad CVSS v4.0: BAJA
Última modificación:
16/03/2026

Vulnerabilidad en Liderahenk de TUBITAK BILGEM Software Technologies Research Institute (CVE-2026-2339)
Fecha de publicación:
10/03/2026
Idioma:
Español
Vulnerabilidad por ausencia de autenticación para función crítica en TUBITAK BILGEM Software Technologies Research Institute Liderahenk permite la inclusión remota de código, el abuso de privilegios y la inyección de comandos. Este problema afecta a Liderahenk: versiones anteriores a la v3.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2026
Suscribirse a Vulnerabilidades