Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Red Hat (CVE-2026-3234)
Fecha de publicación:
12/03/2026
Idioma:
Español
Se encontró un fallo en mod_proxy_cluster. Esta vulnerabilidad, una inyección de Retorno de Carro y Salto de Línea (CRLF) en la función decodeenc(), permite a un atacante remoto eludir la validación de entrada. Al inyectar secuencias CRLF en la configuración del clúster, un atacante puede corromper el cuerpo de la respuesta de las respuestas del endpoint INFO. La explotación requiere acceso de red al puerto del protocolo MCMP, pero no se necesita autenticación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en Red Hat (CVE-2026-2366)
Fecha de publicación:
12/03/2026
Idioma:
Español
Se encontró un defecto en Keycloak. Una vulnerabilidad de omisión de autorización en la API de administración de Keycloak permite a cualquier usuario autenticado, incluso a aquellos sin privilegios administrativos, enumerar las membresías de la organización de otros usuarios. Esta revelación de información ocurre si el atacante conoce el identificador único (UUID) de la víctima y la función de Organizaciones está habilitada.
Gravedad CVSS v3.1: BAJA
Última modificación:
02/04/2026

Vulnerabilidad en GPAC (CVE-2026-4015)
Fecha de publicación:
12/03/2026
Idioma:
Español
Se ha identificado una debilidad en GPAC 26.03-DEV. Afectada es la función txtin_process_texml del archivo src/filters/load_text.c del componente TeXML File Parser. La ejecución de una manipulación puede conducir a un desbordamiento de búfer basado en pila. Es posible lanzar el ataque en el host local. El exploit se ha puesto a disposición del público y podría usarse para ataques. Este parche se llama d29f6f1ada5cc284cdfa783b6f532c7d8bd049a5. Se aconseja aplicar un parche para resolver este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en GPAC (CVE-2026-4016)
Fecha de publicación:
12/03/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en GPAC 26.03-DEV. Afectada por esta vulnerabilidad es la función svgin_process del archivo src/filters/load_svg.c del componente SVG Parser. La manipulación lleva a escritura fuera de límites. Acceso local es requerido para abordar este ataque. El exploit ha sido divulgado públicamente y puede ser usado. El identificador del parche es 7618d7206cdeb3c28961dc97ab0ecabaff0c8af2. Se sugiere instalar un parche para abordar este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Cafe Reservation System de itsourcecode (CVE-2026-4014)
Fecha de publicación:
12/03/2026
Idioma:
Español
Una falla de seguridad ha sido descubierta en itsourcecode Cafe Reservation System 1.0. Esto afecta una función desconocida del archivo /curvus2/signup.php del componente Registration. Realizar una manipulación del argumento Username resulta en inyección SQL. La explotación remota del ataque es posible. El exploit ha sido liberado al público y puede ser usado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en soloud de jarikomppa (CVE-2026-4009)
Fecha de publicación:
12/03/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en jarikomppa soloud hasta 20200207. Afectada está la función drwav_read_pcm_frames_s16__msadpcm en la biblioteca src/audiosource/wav/dr_wav.h del componente WAV File Parser. La manipulación conduce a una lectura fuera de límites. El ataque necesita ser realizado localmente. El exploit ha sido divulgado al público y puede ser utilizado. Se recomienda actualizar a la versión 20200207 para abordar este problema. Se recomienda actualizar el componente afectado. El proyecto fue informado del problema tempranamente a través de un informe de problema, pero aún no ha respondido.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en pocketlang de ThakeeNathees (CVE-2026-4010)
Fecha de publicación:
12/03/2026
Idioma:
Español
Se encontró una vulnerabilidad en pocketlang de ThakeeNathees hasta cc73ca61b113d48ee130d837a7a8b145e41de5ce. El elemento afectado es la función pkByteBufferAddString. La manipulación del argumento length con la entrada 4294967290 resulta en corrupción de memoria. El ataque requiere un enfoque local. El exploit se ha hecho público y podría utilizarse. Este producto no utiliza versionado. Por esta razón, la información sobre las versiones afectadas y no afectadas no está disponible. Se informó al proyecto del problema con antelación mediante un informe de incidencia, pero aún no ha respondido.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en fe de rxi (CVE-2026-4012)
Fecha de publicación:
12/03/2026
Idioma:
Español
Se determinó una vulnerabilidad en rxi fe hasta ed4cda96bd582cbb08520964ba627efb40f3dd91. El elemento afectado es la función read_ del archivo src/fe.c. Esta manipulación con la entrada 1 causa una lectura fuera de límites. El ataque requiere acceso local. El exploit ha sido divulgado públicamente y puede ser utilizado. Este producto utiliza un modelo de lanzamiento continuo para entregar actualizaciones continuas. Como resultado, la información de versión específica para las versiones afectadas o actualizadas no está disponible. El proyecto fue informado del problema tempranamente a través de un informe de problema, pero aún no ha respondido.
Gravedad CVSS v4.0: BAJA
Última modificación:
22/04/2026

Vulnerabilidad en SourceCodester (CVE-2026-4013)
Fecha de publicación:
12/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en SourceCodester Web-based Pharmacy Product Management System 1.0. Esto afecta una función desconocida del archivo add_admin.php. Dicha manipulación conduce a una autorización indebida. El ataque puede ser lanzado de forma remota.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en W3 de Tenda (CVE-2026-4007)
Fecha de publicación:
12/03/2026
Idioma:
Español
Una vulnerabilidad fue detectada en Tenda W3 1.0.0.3(2204). Esta vulnerabilidad afecta código desconocido del archivo /goform/wifiSSIDget del componente Gestor de Parámetros POST. Realizar una manipulación del argumento index resulta en desbordamiento de búfer basado en pila. Es posible iniciar el ataque de forma remota. El exploit es ahora público y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en W3 de Tenda (CVE-2026-4008)
Fecha de publicación:
12/03/2026
Idioma:
Español
Se ha encontrado un fallo en Tenda W3 1.0.0.3(2204). Este problema afecta a algún procesamiento desconocido del archivo /goform/wifiSSIDset del componente Gestor de Parámetros POST. La ejecución de una manipulación del argumento index/GO puede llevar a un desbordamiento de búfer basado en pila. Es posible lanzar el ataque de forma remota. El exploit ha sido publicado y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en mold de rui314 (CVE-2026-3994)
Fecha de publicación:
12/03/2026
Idioma:
Español
Una vulnerabilidad fue detectada en rui314 mold hasta la versión 2.40.4. Este problema afecta la función mold::ObjectFilemold::X86_64::initialize_sections del archivo src/input-files.cc del componente Gestor de Archivos de Objeto. Realizar una manipulación resulta en un desbordamiento de búfer basado en montículo. Atacar localmente es un requisito. El exploit ahora es público y puede ser utilizado. El proyecto fue informado del problema tempranamente a través de un informe de problema, pero aún no ha respondido.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026
Suscribirse a Vulnerabilidades