Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WebSocket (CVE-2026-20781)
Fecha de publicación:
27/02/2026
Idioma:
Español
Los puntos finales WebSocket carecen de mecanismos de autenticación adecuados, lo que permite a los atacantes realizar suplantación de estación no autorizada y manipular datos enviados al backend. Un atacante no autenticado puede conectarse al punto final WebSocket OCPP utilizando un identificador de estación de carga conocido o descubierto, luego emitir o recibir comandos OCPP como un cargador legítimo. Dado que no se requiere autenticación, esto puede llevar a la escalada de privilegios, control no autorizado de la infraestructura de carga y corrupción de los datos de la red de carga reportados al backend.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
05/03/2026

Vulnerabilidad en IJ Scan Utility (CVE-2026-1585)
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de ruta de ejecución de servicio de Windows sin comillas en IJ Scan Utility para Windows versiones 1.1.2 a 1.5.0 puede permitir a un atacante local ejecutar un archivo malicioso con los privilegios del servicio afectado.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en go2ismail Free-CRM (CVE-2026-3265)
Fecha de publicación:
26/02/2026
Idioma:
Español
Se identificó una vulnerabilidad en go2ismail Free-CRM hasta b83c40a90726d5e58f0cc680ffdcaa28a03fb5d1. Esto afecta una parte desconocida del archivo /api/Security/ del componente Security API. La manipulación conduce a una autorización indebida. El ataque es posible de llevar a cabo remotamente. El exploit está disponible públicamente y podría ser utilizado. Este producto adopta una estrategia de lanzamiento continuo para mantener la entrega continua. Por lo tanto, los detalles de la versión para las versiones afectadas o actualizadas no pueden especificarse. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/03/2026

Vulnerabilidad en psi-probe PSI Probe (CVE-2026-3268)
Fecha de publicación:
26/02/2026
Idioma:
Español
Una vulnerabilidad fue detectada en psi-probe PSI Probe hasta la versión 5.3.0. El elemento afectado es una función desconocida del archivo psi-probe-core/src/main/java/psiprobe/controllers/sessions/RemoveSessAttributeController.java del componente Gestor de Atributos de Sesión. Realizar una manipulación resulta en controles de acceso inadecuados. El ataque puede ser iniciado remotamente. El exploit ahora es público y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en Initiative (CVE-2026-28276)
Fecha de publicación:
26/02/2026
Idioma:
Español
Initiative es una plataforma de gestión de proyectos autoalojada. Existe una vulnerabilidad de control de acceso en las versiones de Initiative anteriores a la 0.32.2 donde los documentos subidos se sirven desde un directorio /uploads/ de acceso público sin ninguna comprobación de autenticación o autorización. Cualquier archivo subido puede ser accedido directamente a través de su URL por usuarios no autenticados (por ejemplo, en una sesión de navegador de incógnito), lo que lleva a la posible divulgación de documentos sensibles. El problema fue parcheado en la v0.32.2, y el parche fue mejorado aún más en la 0.32.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en Initiative (CVE-2026-28275)
Fecha de publicación:
26/02/2026
Idioma:
Español
Initiative es una plataforma de gestión de proyectos autoalojada. Las versiones de la aplicación anteriores a la 0.32.4 no invalidan los tokens de acceso JWT emitidos previamente después de que un usuario cambia su contraseña. Como resultado, los tokens más antiguos permanecen válidos hasta su expiración y aún pueden utilizarse para acceder a puntos finales de API protegidos. Este comportamiento permite el acceso autenticado continuado incluso después de que la contraseña de la cuenta haya sido actualizada. La versión 0.32.4 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en Initiative (CVE-2026-28274)
Fecha de publicación:
26/02/2026
Idioma:
Español
Initiative es una plataforma de gestión de proyectos autohospedada. Las versiones de la aplicación anteriores a la 0.32.4 son vulnerables a Cross-Site Scripting Almacenado (XSS) en la funcionalidad de carga de documentos. Cualquier usuario con permisos de carga dentro de la sección 'Initiatives' puede cargar un archivo .html o .htm malicioso como documento. Debido a que el archivo HTML cargado se sirve bajo el origen de la aplicación sin un sandboxing adecuado, el JavaScript incrustado se ejecuta en el contexto de la aplicación. Como resultado, los tokens de autenticación, las cookies de sesión u otros datos sensibles pueden ser exfiltrados a un servidor controlado por el atacante. Además, dado que el archivo cargado está alojado bajo el dominio de la aplicación, simplemente compartir el enlace directo al archivo puede resultar en la ejecución del script malicioso al ser accedido. La versión 0.32.4 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en osctrl (CVE-2026-28280)
Fecha de publicación:
26/02/2026
Idioma:
Español
osctrl es una solución de gestión de osquery. Antes de la versión 0.5.0, existe una vulnerabilidad de cross-site scripting (XSS) almacenado en la lista de consultas bajo demanda de 'osctrl-admin'. Un usuario con permisos a nivel de consulta puede inyectar JavaScript arbitrario a través del parámetro de consulta al ejecutar una consulta bajo demanda. La carga útil se almacena y se ejecuta en el navegador de cualquier usuario (incluidos los administradores) que visita la página de la lista de consultas. Esto se puede encadenar con la extracción de tokens CSRF para escalar privilegios y realizar acciones como el usuario conectado. Un atacante con permisos a nivel de consulta (el nivel de privilegio más bajo) puede ejecutar JavaScript arbitrario en los navegadores de todos los usuarios que ven la lista de consultas. Dependiendo de su nivel de acceso, puede llevar a un compromiso total de la plataforma si un administrador ejecuta la carga útil. El problema está solucionado en osctrl 'v0.5.0'. Como solución alternativa, restrinja los permisos a nivel de consulta a usuarios de confianza, supervise la lista de consultas en busca de cargas útiles sospechosas, y/o revise las cuentas de usuario de osctrl en busca de administradores no autorizados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/02/2026

Vulnerabilidad en osctrl (CVE-2026-28279)
Fecha de publicación:
26/02/2026
Idioma:
Español
osctrl es una solución de gestión de osquery. Antes de la versión 0.5.0, existe una vulnerabilidad de inyección de comandos del sistema operativo en la configuración del entorno de `osctrl-admin`. Un administrador autenticado puede inyectar comandos de shell arbitrarios a través del parámetro de nombre de host al crear o editar entornos. Estos comandos se incrustan en scripts de una sola línea de inscripción generados usando el paquete `text/template` de Go (que no realiza el escape de shell) y se ejecutan en cada punto final que se inscribe usando el entorno comprometido. Un atacante con acceso de administrador puede lograr la ejecución remota de código en cada punto final que se inscribe usando el entorno comprometido. Los comandos se ejecutan como root/SYSTEM (el nivel de privilegio utilizado para la inscripción de osquery) antes de que se instale osquery, sin dejar rastro de auditoría a nivel de agente. Esto permite la instalación de puertas traseras, la exfiltración de credenciales y el compromiso total del punto final. Esto se corrige en osctrl `v0.5.0`. Como solución alternativa, restrinja el acceso de administrador de osctrl a personal de confianza, revise las configuraciones de entorno existentes en busca de nombres de host sospechosos y/o monitoree los scripts de inscripción en busca de comandos inesperados.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/02/2026

Vulnerabilidad en go2ismail Free-CRM (CVE-2026-3264)
Fecha de publicación:
26/02/2026
Idioma:
Español
Se determinó una vulnerabilidad en go2ismail Free-CRM hasta b83c40a90726d5e58f0cc680ffdcaa28a03fb5d1. Afectada por este problema es alguna funcionalidad desconocida del componente Interfaz Administrativa. Ejecutar una manipulación puede llevar a la ejecución después de redirección. El ataque puede ser ejecutado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. Este producto implementa una publicación continua para entrega en curso, lo que significa que la información de la versión para las publicaciones afectadas o actualizadas no está disponible. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/03/2026

Vulnerabilidad en hoppscotch (CVE-2026-28217)
Fecha de publicación:
26/02/2026
Idioma:
Español
hoppscotch es un ecosistema de desarrollo de API de código abierto. Antes de la versión 2026.2.0, la consulta GraphQL 'userCollection' acepta un ID de colección arbitrario y devuelve los datos completos de la colección — incluyendo título, tipo y el campo 'data' serializado que contiene solicitudes HTTP con encabezados y potencialmente secretos — a cualquier usuario autenticado, sin verificar que el usuario solicitante sea el propietario de la colección. Esto es una Referencia Directa a Objeto Insegura (IDOR) causada por una verificación de autorización faltante que existe en cualquier otra operación en el mismo *resolver*. La versión 2026.2.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en hoppscotch (CVE-2026-28216)
Fecha de publicación:
26/02/2026
Idioma:
Español
hoppscotch es un ecosistema de desarrollo de API de código abierto. Antes de la versión 2026.2.0, cualquier usuario autenticado puede leer, modificar o eliminar el entorno personal de otro usuario por ID. `user-environments.resolver.ts:82-109`, la mutación `updateUserEnvironment` utiliza `@UseGuards(GqlAuthGuard)` pero carece por completo del decorador `@GqlUser()`. La identidad del usuario nunca se extrae, por lo que el servicio recibe solo el ID del entorno y realiza una `prisma.userEnvironment.update({ where: { id } })` sin ningún filtro de propiedad. La mutación `deleteUserEnvironment` sí extrae al usuario, pero el servicio solo utiliza el UID para verificar si el objetivo es un entorno global. La consulta de eliminación real utiliza WHERE { id } sin AND userUid. Los entornos de hoppscotch almacenan claves API, tokens de autenticación y secretos utilizados en solicitudes API. Un atacante autenticado que obtiene el ID del entorno de otro usuario puede leer sus secretos, reemplazarlos con valores maliciosos o eliminarlos por completo. El formato del ID del entorno es CUID, lo que limita la explotación masiva, pero las amenazas internas y los escenarios combinados de fuga de información son realistas. La versión 2026.2.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades