Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenClaw (CVE-2026-28458)
Fecha de publicación:
05/03/2026
Idioma:
Español
La versión 2026.1.20 de OpenClaw anterior a la 2026.2.1 contiene una vulnerabilidad en el endpoint WebSocket /cdp del Browser Relay (la extensión debe estar instalada y habilitada) en el que no requiere tokens de autenticación, permitiendo que los sitios web se conecten a través de loopback y accedan a datos sensibles. Los atacantes pueden explotar esto conectándose a ws://127.0.0.1:18792/cdp para robar cookies de sesión y ejecutar JavaScript en otras pestañas del navegador.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28462)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.13 contienen una vulnerabilidad en la API de control del navegador en la que acepta rutas de salida proporcionadas por el usuario para archivos de rastreo y descarga sin restringir consistentemente las escrituras a directorios temporales. Atacantes con acceso a la API pueden explotar el salto de ruta en los endpoints POST /trace/stop, POST /wait/download y POST /download para escribir archivos fuera de las raíces temporales previstas.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28459)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.12 no validan el parámetro de ruta sessionFile, lo que permite a los clientes de pasarela autenticados escribir datos de transcripción en ubicaciones arbitrarias del sistema de archivos del host. Los atacantes pueden proporcionar una ruta de sessionFile fuera del directorio de sesiones para crear archivos y añadir datos repetidamente, lo que podría causar corrupción de la configuración o denegación de servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28457)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.14 contienen una vulnerabilidad de salto de ruta en la duplicación de habilidades de sandbox (debe estar habilitada) que utiliza el parámetro 'name' del 'frontmatter' de la habilidad sin sanitizar al copiar habilidades en el espacio de trabajo de la sandbox. Los atacantes que proporcionan un paquete de habilidad manipulado con secuencias de salto como ../ o rutas absolutas en el campo 'name' pueden escribir archivos fuera del directorio raíz del espacio de trabajo de la sandbox.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28456)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw 2026.1.5 anteriores a la 2026.2.14 contienen una vulnerabilidad en el Gateway en la que no restringe suficientemente las rutas de módulos de 'hook' configuradas antes de pasarlas a 'import()' dinámico, lo que permite la ejecución de código. Un atacante con acceso de modificación a la configuración del 'gateway' puede cargar y ejecutar módulos locales no deseados en el proceso de Node.js.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28454)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.2 no validan los secretos de webhook en el modo de webhook de Telegram (debe estar habilitado), permitiendo solicitudes HTTP POST no autenticadas al endpoint del webhook que confían en cargas útiles JSON controladas por el atacante. Los atacantes remotos pueden falsificar actualizaciones de Telegram suplantando los campos message.from.id y chat.id para eludir las listas blancas de remitentes y ejecutar comandos de bot privilegiados.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28453)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.14 no validan las rutas de entrada de archivos TAR durante la extracción, permitiendo que secuencias de salto de ruta escriban archivos fuera del directorio previsto. Los atacantes pueden crear archivos maliciosos con secuencias de salto de ruta como ../../ para escribir archivos fuera de los límites de extracción, lo que podría permitir la manipulación de la configuración y la ejecución de código.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28452)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a la 2026.2.14 contienen una vulnerabilidad de denegación de servicio en la función extractArchive dentro de src/infra/archive.ts que permite a los atacantes consumir recursos excesivos de CPU, memoria y disco a través de archivos ZIP y TAR de alta expansión. Los atacantes remotos pueden desencadenar el agotamiento de recursos al proporcionar archivos comprimidos maliciosos durante las operaciones de instalación o actualización, causando degradación del servicio o indisponibilidad del sistema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28450)
Fecha de publicación:
05/03/2026
Idioma:
Español
Versiones de OpenClaw anteriores a 2026.2.12 con el plugin opcional de Nostr habilitado exponen puntos finales HTTP sin autenticación en /api/channels/nostr/:accountId/profile y /api/channels/nostr/:accountId/profile/import que permiten leer y modificar perfiles de Nostr sin autenticación de la pasarela. Atacantes remotos pueden explotar estos puntos finales para leer datos de perfil sensibles, modificar perfiles de Nostr, persistir cambios maliciosos en la configuración de la pasarela y publicar eventos Nostr firmados utilizando la clave privada del bot cuando el puerto HTTP de la pasarela es accesible más allá de localhost.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28451)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw anteriores a 2026.2.14 contienen vulnerabilidades de falsificación de petición del lado del servidor en la extensión de Feishu que permiten a los atacantes obtener URLs remotas controladas por el atacante sin protecciones SSRF a través de la función sendMediaFeishu y el procesamiento de imágenes markdown. Los atacantes pueden influir en las llamadas a herramientas mediante manipulación directa o inyección de prompts para activar peticiones a servicios internos y volver a subir las respuestas como medios de Feishu.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28395)
Fecha de publicación:
05/03/2026
Idioma:
Español
La versión de OpenClaw 2026.1.14-1 anterior a la 2026.2.12 contiene una vulnerabilidad de enlace de red inadecuado en el servidor de retransmisión de la extensión de Chrome (debe estar instalada y habilitada) que trata los hosts comodín como direcciones de bucle invertido, permitiendo que el servidor HTTP/WS de retransmisión se enlace a todas las interfaces cuando se configura una cdpUrl comodín. Los atacantes remotos pueden acceder a los puntos finales HTTP de retransmisión fuera del host para filtrar la presencia del servicio e información del puerto, o realizar ataques de denegación de servicio y de fuerza bruta contra el encabezado del token de retransmisión.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28447)
Fecha de publicación:
05/03/2026
Idioma:
Español
Las versiones de OpenClaw 2026.1.29-beta.1 anteriores a la 2026.2.1 contienen una vulnerabilidad de salto de ruta en la instalación de plugins que permite que nombres de paquetes de plugins maliciosos escapen del directorio de extensiones. Los atacantes pueden crear nombres de paquetes con ámbito que contengan secuencias de salto de ruta como .. para escribir archivos fuera del directorio de instalación previsto cuando las víctimas ejecutan el comando de instalación de plugins.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/03/2026
Suscribirse a Vulnerabilidades