Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en mercurius (CVE-2025-64166)
Fecha de publicación:
05/03/2026
Idioma:
Español
Mercurius es un adaptador GraphQL para Fastify. Antes de la versión 16.4.0, se identificó una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF). El problema surge del análisis incorrecto del encabezado Content-Type en las peticiones. Específicamente, las peticiones con valores de Content-Type como application/x-www-form-urlencoded, multipart/form-data o text/plain podrían ser malinterpretadas como application/json. Esta mala interpretación omite las comprobaciones previas realizadas por la API fetch(), lo que podría permitir que se realicen acciones no autorizadas en nombre de un usuario autenticado. Este problema ha sido parcheado en la versión 16.4.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en RustDesk Server Pro (CVE-2026-3598)
Fecha de publicación:
05/03/2026
Idioma:
Español
Vulnerabilidad por uso de un algoritmo criptográfico defectuoso o inseguro en rustdesk-server-pro RustDesk Server Pro rustdesk-server-pro en Windows, MacOS y Linux (generación de cadenas de configuración, módulos de exportación de la consola web) permite recuperar datos confidenciales incrustados. Esta vulnerabilidad está asociada con las rutinas del programa de exportación/generación de configuración. Este problema afecta a RustDesk Server Pro: hasta la versión 1.7.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en RustDesk Client (CVE-2026-30791)
Fecha de publicación:
05/03/2026
Idioma:
Español
Vulnerabilidad por uso de un algoritmo criptográfico defectuoso o arriesgado en rustdesk-client RustDesk Client rustdesk-client en Windows, MacOS, Linux, iOS, Android y WebClient (importación de configuración, controlador de esquema URI, módulos CLI --config) permite recuperar datos confidenciales incrustados. Esta vulnerabilidad está asociada con los archivos de programa flutter/lib/common.Dart, hbb_common/src/config.Rs y las rutinas de programa parseRustdeskUri(), importConfig(). Este problema afecta a RustDesk Client: hasta la versión 1.4.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en Avira Internet Security (CVE-2026-27750)
Fecha de publicación:
05/03/2026
Idioma:
Español
Avira Internet Security contiene una vulnerabilidad de tiempo de comprobación y tiempo de uso (TOCTOU) en el componente Optimizer. Un servicio con privilegios que se ejecuta como SYSTEM identifica los directorios que deben limpiarse durante una fase de análisis y, posteriormente, los elimina durante una fase de limpieza independiente sin volver a validar la ruta de destino. Un atacante local puede sustituir un directorio escaneado previamente por un punto de unión o de reanálisis antes de que se produzca la eliminación, lo que provoca que el proceso con privilegios elimine una ubicación del sistema no deseada. Esto puede dar lugar a la eliminación de archivos o directorios protegidos y puede provocar una escalada de privilegios locales, una denegación de servicio o un compromiso de la integridad del sistema, dependiendo del objetivo afectado.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en Avira Internet Security (CVE-2026-27748)
Fecha de publicación:
05/03/2026
Idioma:
Español
Avira Internet Security contiene una vulnerabilidad de resolución de enlaces incorrecta en el componente Software Updater. Durante el proceso de actualización, un servicio privilegiado ejecutándose como SYSTEM elimina un archivo bajo C:\\ProgramData sin validar si la ruta se resuelve a través de un enlace simbólico o un punto de reanálisis. Un atacante local puede crear un enlace malicioso para redirigir la operación de eliminación a un archivo arbitrario, resultando en la eliminación de archivos elegidos por el atacante con privilegios de SYSTEM. Esto puede llevar a una escalada de privilegios local, denegación de servicio o compromiso de la integridad del sistema dependiendo del archivo objetivo y la configuración del sistema operativo.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en Avira Internet Security (CVE-2026-27749)
Fecha de publicación:
05/03/2026
Idioma:
Español
Avira Internet Security contiene una vulnerabilidad de deserialización de datos no confiables en el componente System Speedup. El proceso Avira.SystemSpeedup.RealTimeOptimizer.exe, que se ejecuta con privilegios del SISTEMA, deserializa datos de un archivo ubicado en C:\\ProgramData utilizando .NET BinaryFormatter sin implementar validaciones de entrada ni medidas de seguridad para la deserialización. Dado que el archivo puede ser creado o modificado por un usuario local en las configuraciones predeterminadas, un atacante puede proporcionar una carga útil serializada diseñada que sea deserializada por el proceso con privilegios, lo que da lugar a la ejecución de código arbitrario como SYSTEM.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en Python-Markdown (CVE-2025-69534)
Fecha de publicación:
05/03/2026
Idioma:
Español
Python-Markdown versión 3.8 contiene una vulnerabilidad donde secuencias malformadas similares a HTML pueden hacer que html.parser.HTMLParser genere un AssertionError no manejado durante el análisis de Markdown. Debido a que Python-Markdown no captura esta excepción, cualquier aplicación que procese Markdown controlado por el atacante puede fallar. Esto permite una denegación de servicio remota y no autenticada en aplicaciones web, sistemas de documentación, pipelines de CI/CD y cualquier servicio que renderice Markdown no confiable. El problema fue reconocido por el proveedor y corregido en la versión 3.8.1. Este problema causa una denegación de servicio remota en cualquier aplicación que analice Markdown no confiable, y puede llevar a la revelación de información a través de excepciones no capturadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en WowOptin (CVE-2026-1720)
Fecha de publicación:
05/03/2026
Idioma:
Español
El plugin WowOptin: Next-Gen Popup Maker – Create Stunning Popups and Optins for Lead Generation para WordPress es vulnerable a la instalación arbitraria de plugins no autorizados debido a la ausencia de una comprobación de capacidad en la función 'install_and_active_plugin' en todas las versiones hasta la 1.4.24, inclusive. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, instalar y activar plugins arbitrarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2026

Vulnerabilidad en Database for Contact Form 7 (CVE-2026-2599)
Fecha de publicación:
05/03/2026
Idioma:
Español
El plugin Database for Contact Form 7, WPforms, Elementor forms para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 1.4.7, inclusive, a través de la deserialización de entrada no confiable en la función 'download_csv'. Esto hace posible que atacantes no autenticados inyecten un objeto PHP. No hay una cadena POP conocida presente en el software vulnerable, lo que significa que esta vulnerabilidad no tiene impacto a menos que otro plugin o tema que contenga una cadena POP esté instalado en el sitio. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema objetivo, puede permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código dependiendo de la cadena POP presente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2026

Vulnerabilidad en Octopus Server (CVE-2026-3236)
Fecha de publicación:
05/03/2026
Idioma:
Español
En las versiones afectadas de Octopus Server era posible crear una nueva clave de API a partir de un token de acceso existente, lo que resultaba en que la nueva clave de API tuviera una vida útil que excedía la clave de API original utilizada para generar el token de acceso.
Gravedad CVSS v4.0: BAJA
Última modificación:
13/03/2026

Vulnerabilidad en Astroid Template Framework (CVE-2026-21628)
Fecha de publicación:
05/03/2026
Idioma:
Español
Una característica de gestión de archivos incorrectamente protegida permite cargas de tipos de datos peligrosos para usuarios no autenticados, lo que lleva a ejecución remota de código.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/03/2026

Vulnerabilidad en Eclipse Jetty (CVE-2026-1605)
Fecha de publicación:
05/03/2026
Idioma:
Español
En Eclipse Jetty, versiones 12.0.0-12.0.31 y 12.1.0-12.0.5, la clase GzipHandler expone una vulnerabilidad cuando una solicitud HTTP comprimida, con Content-Encoding: gzip, es procesada y la respuesta correspondiente no está comprimida.<br /> <br /> Esto ocurre porque el Inflater del JDK es asignado para descomprimir la solicitud, pero no es liberado porque el mecanismo de liberación está ligado a la respuesta comprimida.<br /> En este caso, dado que la respuesta no está comprimida, el mecanismo de liberación no se activa, causando la fuga.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/03/2026
Suscribirse a Vulnerabilidades