Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en zitadel (CVE-2026-29191)
Fecha de publicación:
07/03/2026
Idioma:
Español
ZITADEL es una plataforma de gestión de identidades de código abierto. Desde la versión 4.0.0 hasta la 4.11.1, fue descubierta una vulnerabilidad en la interfaz de inicio de sesión V2 de Zitadel que permitía una posible toma de control de cuenta mediante XSS en el endpoint /saml-post. Este problema ha sido parcheado en la versión 4.12.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/03/2026

Vulnerabilidad en backstage (CVE-2026-29186)
Fecha de publicación:
07/03/2026
Idioma:
Español
Backstage es un framework abierto para construir portales de desarrolladores. Antes de la versión 1.14.3, esta es una vulnerabilidad de omisión de configuración que permite la ejecución de código arbitrario. El paquete @backstage/plugin-techdocs-node utiliza una lista de permitidos para filtrar claves de configuración peligrosas de MkDocs durante el proceso de compilación de la documentación. Una brecha en esta lista de permitidos permite a los atacantes crear un mkdocs.yml que provoca la ejecución de código Python arbitrario, eludiendo completamente los controles de seguridad de TechDocs. Este problema ha sido parcheado en la versión 1.14.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en backstage (CVE-2026-29184)
Fecha de publicación:
07/03/2026
Idioma:
Español
Backstage es un framework abierto para construir portales de desarrolladores. Antes de la versión 3.1.4, una plantilla de andamiaje maliciosa puede eludir el mecanismo de redacción de registros para exfiltrar secretos proporcionados que se ejecutan a través de los registros de eventos de tareas. Este problema ha sido parcheado en la versión 3.1.4.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/04/2026

Vulnerabilidad en backstage (CVE-2026-29185)
Fecha de publicación:
07/03/2026
Idioma:
Español
Backstage es un framework abierto para construir portales de desarrolladores. Antes de la versión 1.20.1, una vulnerabilidad en el análisis de URL de SCM utilizado por las integraciones de Backstage permitía que secuencias de salto de ruta en formato codificado se incluyeran en las rutas de archivo. Cuando estas URL eran procesadas por funciones de integración que construyen URL de API, los segmentos de salto de ruta podían redirigir solicitudes a puntos finales de API de proveedores de SCM no deseados utilizando las credenciales de integración del lado del servidor configuradas. Este problema ha sido parcheado en la versión 1.20.1.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/04/2026

Vulnerabilidad en zitadel (CVE-2026-29067)
Fecha de publicación:
07/03/2026
Idioma:
Español
ZITADEL es una plataforma de gestión de identidades de código abierto. Desde la versión 4.0.0-rc.1 hasta la 4.7.0, existe una potencial vulnerabilidad en el mecanismo de restablecimiento de contraseña de ZITADEL en el inicio de sesión V2. ZITADEL utiliza el encabezado Forwarded o X-Forwarded-Host de las solicitudes entrantes para construir la URL del enlace de confirmación de restablecimiento de contraseña. Este enlace, que contiene un código secreto, se envía luego por correo electrónico al usuario. Este problema ha sido parcheado en la versión 4.7.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en WL-NU516U1 de Wavlink (CVE-2026-3662)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Wavlink WL-NU516U1 240425. Esta vulnerabilidad afecta a la función usb_p910 del archivo /cgi-bin/adm.cgi. Dicha manipulación del argumento Pr_mode conduce a una inyección de comandos. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en WL-NU516U1 de Wavlink (CVE-2026-3661)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Wavlink WL-NU516U1 240425. Esto afecta a la función ota_new_upgrade del archivo /cgi-bin/adm.cgi. Esta manipulación del argumento model causa inyección de comandos. Es posible iniciar el ataque de forma remota. El exploit ha sido publicado y puede ser utilizado. Se contactó con el fabricante con antelación sobre esta divulgación.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en dpkg de Debian (CVE-2026-2219)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se descubrió que dpkg-deb (un componente de dpkg, el sistema de gestión de paquetes de Debian) no valida correctamente el final del flujo de datos al descomprimir un archivo .deb comprimido con zstd, lo que puede resultar en denegación de servicio (bucle infinito que consume la CPU).
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en Apache ZooKeeper (CVE-2026-24281)
Fecha de publicación:
07/03/2026
Idioma:
Español
La verificación de nombre de host en Apache ZooKeeper ZKTrustManager recurre a DNS inverso (PTR) cuando falla la validación IP SAN, permitiendo a los atacantes que controlan o falsifican registros PTR suplantar servidores o clientes de ZooKeeper con un certificado válido para el nombre PTR. Es importante señalar que el atacante debe presentar un certificado que sea de confianza para ZKTrustManager, lo que hace que el vector de ataque sea más difícil de explotar. Se recomienda a los usuarios actualizar a la versión 3.8.6 o 3.9.5, que corrige este problema al introducir una nueva opción de configuración para deshabilitar la búsqueda de DNS inverso en los protocolos de cliente y quórum.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en Apache ZooKeeper (CVE-2026-24308)
Fecha de publicación:
07/03/2026
Idioma:
Español
El manejo inadecuado de los valores de configuración en ZKConfig en Apache ZooKeeper 3.8.5 y 3.9.4 en todas las plataformas permite a un atacante exponer información sensible almacenada en la configuración del cliente en el archivo de registro del cliente. Los valores de configuración se exponen en el registro de nivel INFO, lo que hace que los sistemas de producción potenciales se vean afectados por el problema. Se recomienda a los usuarios actualizar a la versión 3.8.6 o 3.9.5, que corrige este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en LotekMedia Popup Form de lotekmedia (CVE-2026-2420)
Fecha de publicación:
07/03/2026
Idioma:
Español
El plugin LotekMedia Popup Form para WordPress es vulnerable a cross-site scripting almacenado a través de la configuración del plugin en todas las versiones hasta la 1.0.6, inclusive, debido a una sanitización de entrada insuficiente y un escape de salida deficiente. Esto hace posible que atacantes autenticados, con acceso de nivel de Administrador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al frontend del sitio donde se muestra la ventana emergente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en rebelcode (CVE-2026-2433)
Fecha de publicación:
07/03/2026
Idioma:
Español
El plugin RSS Aggregator – RSS Import, News Feeds, Feed to Post y Autoblogging para WordPress es vulnerable a cross-site scripting basado en DOM a través de postMessage en todas las versiones hasta la 5.0.11, inclusive. Esto se debe a que el archivo admin-shell.js del plugin registra un oyente de eventos de mensaje global sin validación de origen (falta la comprobación de event.origin) y pasa directamente URLs controladas por el usuario a window.open() sin validación del esquema de URL. Esto hace posible que atacantes no autenticados ejecuten JavaScript arbitrario en el contexto de la sesión de un administrador autenticado al engañarlos para que visiten un sitio web malicioso que envía cargas útiles postMessage manipuladas a la página de administración del plugin.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026
Suscribirse a Vulnerabilidades