Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-22873

Fecha de publicación:

04/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** It was possible to improperly access the parent directory of an os.Root by opening a filename ending in "../". For example, Root.Open("../") would open the parent directory of the Root. This escape only permits opening the parent directory itself, not ancestors of the parent or files contained within the parent.

Gravedad CVSS v3.1: BAJA

Última modificación:

10/02/2026

CVE-2026-25578

Fecha de publicación:

04/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** Navidrome is an open source web-based music collection server and streamer. Prior to version 0.60.0, a cross-site scripting vulnerability in the frontend allows a malicious attacker to inject code through the comment metadata of a song to exfiltrate user credentials. This issue has been patched in version 0.60.0.

Gravedad CVSS v3.1: MEDIA

Última modificación:

05/02/2026

Vulnerabilidad en navidrome (CVE-2026-25579)

Fecha de publicación:

04/02/2026

Idioma:

Español

Navidrome es un servidor y streamer de colección de música basado en web de código abierto. Antes de la versión 0.60.0, los usuarios autenticados pueden bloquear el servidor de Navidrome al proporcionar un parámetro de tamaño excesivamente grande a /rest/getCoverArt o a una URL de imagen compartida (/share/img/). Al procesar dichas solicitudes, el servidor intenta crear una imagen redimensionada extremadamente grande, lo que provoca un crecimiento descontrolado de la memoria. Esto activa el OOM killer de Linux, termina el proceso de Navidrome y resulta en una interrupción completa del servicio. Si el sistema tiene suficiente memoria y sobrevive a la asignación, Navidrome escribe estas imágenes redimensionadas extremadamente grandes en su directorio de caché, permitiendo que un atacante agote rápidamente el espacio en disco del servidor también. Este problema ha sido parcheado en la versión 0.60.0.

Gravedad CVSS v4.0: CRÍTICA

Última modificación:

05/02/2026

Vulnerabilidad en iccDEV (CVE-2026-25582)

Fecha de publicación:

04/02/2026

Idioma:

Español

iccDEV proporciona un conjunto de librerías y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color ICC. Antes de la versión 2.3.1.3, existe una vulnerabilidad de desbordamiento de búfer de montón (lectura) en CIccIO::WriteUInt16Float() al convertir XML malformado a perfiles ICC a través de la herramienta iccFromXml. Este problema ha sido parcheado en la versión 2.3.1.3.

Gravedad CVSS v3.1: ALTA

Última modificación:

05/02/2026

Vulnerabilidad en iccDEV (CVE-2026-25583)

Fecha de publicación:

04/02/2026

Idioma:

Español

iccDEV proporciona un conjunto de librerías y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color ICC. Antes de la versión 2.3.1.3, existe una vulnerabilidad de desbordamiento de búfer de montón en CIccFileIO::Read8() al procesar archivos de perfil ICC malformados mediante una operación fread sin verificar. Este problema ha sido parcheado en la versión 2.3.1.3.

Gravedad CVSS v3.1: ALTA

Última modificación:

05/02/2026

Vulnerabilidad en iccDEV (CVE-2026-25584)

Fecha de publicación:

04/02/2026

Idioma:

Español

iccDEV proporciona un conjunto de librerías y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color ICC. Antes de la versión 2.3.1.3, existe una vulnerabilidad de desbordamiento de búfer de pila (stack-buffer-overflow) en CIccTagFloatNum&lt;&gt;::GetValues(). Esto se activa al procesar un perfil ICC malformado. La vulnerabilidad permite una escritura fuera de límites en la pila, lo que podría conducir a corrupción de memoria, revelación de información o ejecución de código al procesar archivos ICC especialmente diseñados. Este problema ha sido parcheado en la versión 2.3.1.3.

Gravedad CVSS v3.1: ALTA

Última modificación:

05/02/2026

CVE-2026-25540

Fecha de publicación:

04/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** Mastodon is a free, open-source social network server based on ActivityPub. Prior to versions 4.3.19, 4.4.13, 4.5.6, Mastodon is vulnerable to web cache poisoning via `Rails.cache. When AUTHORIZED_FETCH is enabled, the ActivityPub endpoints for pinned posts and featured hashtags have contents that depend on the account that signed the HTTP request. However, these contents are stored in an internal cache and reused with no regards to the signing actor. As a result, an empty response generated for a blocked user account may be served to requests from legitimate non-blocked actors, or conversely, content intended for non-blocked actors may be returned to blocked actors. This issue has been patched in versions 4.3.19, 4.4.13, 4.5.6.

Gravedad CVSS v3.1: MEDIA

Última modificación:

05/02/2026

CVE-2026-25546

Fecha de publicación:

04/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** Godot MCP is a Model Context Protocol (MCP) server for interacting with the Godot game engine. Prior to version 0.1.1, a command injection vulnerability in godot-mcp allows remote code execution. The executeOperation function passed user-controlled input (e.g., projectPath) directly to exec(), which spawns a shell. An attacker could inject shell metacharacters like $(command) or &calc to execute arbitrary commands with the privileges of the MCP server process. This affects any tool that accepts projectPath, including create_scene, add_node, load_sprite, and others. This issue has been patched in version 0.1.1.

Gravedad CVSS v3.1: ALTA

Última modificación:

05/02/2026

CVE-2026-25575

Fecha de publicación:

04/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** NavigaTUM is a website and API to search for rooms, buildings and other places. Prior to commit 86f34c7, there is a path traversal vulnerability in the propose_edits endpoint allows unauthenticated users to overwrite files in directories writable by the application user (e.g., /cdn). By supplying unsanitized file keys containing traversal sequences (e.g., ../../) in the JSON payload, an attacker can escape the intended temporary directory and replace public facing images or fill the server&#39;s storage. This issue has been patched via commit 86f34c7.

Gravedad CVSS v4.0: ALTA

Última modificación:

11/02/2026

CVE-2026-25539

Fecha de publicación:

04/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** SiYuan is a personal knowledge management system. Prior to version 3.5.5, the /api/file/copyFile endpoint does not validate the dest parameter, allowing authenticated users to write files to arbitrary locations on the filesystem. This can lead to Remote Code Execution (RCE) by writing to sensitive locations such as cron jobs, SSH authorized_keys, or shell configuration files. This issue has been patched in version 3.5.5.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

11/02/2026

Vulnerabilidad en Bytes (CVE-2026-25541)

Fecha de publicación:

04/02/2026

Idioma:

Español

Bytes es una librería de utilidad para trabajar con bytes. Desde la versión 1.2.1 hasta antes de la 1.11.1, Bytes es vulnerable a desbordamiento de entero en BytesMut::reserve. En la ruta de recuperación única de BytesMut::reserve, si la condición &#39;v_capacity &gt;= new_cap + offset&#39; utiliza una adición sin verificar. Cuando new_cap + offset desborda usize en compilaciones de lanzamiento, esta condición puede pasar incorrectamente, haciendo que self.cap se establezca en un valor que excede la capacidad asignada real. Las API posteriores, como spare_capacity_mut(), confían entonces en este valor de cap corrupto y pueden crear segmentos fuera de límites, lo que lleva a UB. Este comportamiento es observable en compilaciones de lanzamiento (el desbordamiento de entero se ajusta), mientras que las compilaciones de depuración entran en pánico debido a las comprobaciones de desbordamiento. Este problema ha sido parcheado en la versión 1.11.1.

Gravedad CVSS v4.0: MEDIA

Última modificación:

05/02/2026

Vulnerabilidad en HtmlSanitizer de mganss (CVE-2026-25543)

Fecha de publicación:

04/02/2026

Idioma:

Español

HtmlSanitizer es una librería.NET para limpiar fragmentos y documentos HTML de construcciones que pueden llevar a ataques XSS. Antes de las versiones 9.0.892 y 9.1.893-beta, si la etiqueta template está permitida, su contenido no se sanitiza. La etiqueta template es una etiqueta especial que normalmente no renderiza su contenido, a menos que el atributo shadowrootmode esté configurado como open o closed. Este problema ha sido parcheado en las versiones 9.0.892 y 9.1.893-beta.

Gravedad CVSS v4.0: MEDIA

Última modificación:

05/02/2026

Suscribirse a Vulnerabilidades