Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Canarytokens (CVE-2026-28355)
Fecha de publicación:
27/02/2026
Idioma:
Español
Canarytokens ayudan a rastrear la actividad y las acciones en una red. Las versiones anteriores a 'sha-7ff0e12' tienen una vulnerabilidad de Self Cross-Site Scripting en el Canarytoken 'PWA', mediante la cual el creador del Canarytoken puede atacarse a sí mismo o a alguien con quien comparte el enlace. El creador de un Canarytoken PWA puede insertar Javascript en el campo de título de su token PWA. Cuando el creador navega posteriormente a la página de instalación de su propio Canarytoken, el Javascript se ejecuta. Esto es un self-XSS. Un atacante podría crear un Canarytoken con este self-XSS, y enviar el enlace de instalación a una víctima. Cuando hacen clic en él, el Javascript se ejecutaría. Sin embargo, no se divulgará información sensible (ej. información de sesión) al actor malicioso. Este problema ya está parcheado en Canarytokens.org. Los usuarios de instalaciones de Canarytokens autoalojadas pueden actualizar extrayendo la última imagen de Docker, o cualquier imagen de Docker posterior a 'sha-7ff0e12'.
Gravedad CVSS v4.0: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en Kiteworks (CVE-2026-28270)
Fecha de publicación:
27/02/2026
Idioma:
Español
Kiteworks es una red de datos privada (PDN). Antes de la versión 9.2.0, una vulnerabilidad en la configuración de Kiteworks permite la carga de archivos arbitrarios sin la validación adecuada. Administradores maliciosos podrían explotar esto para cargar tipos de archivos no autorizados al sistema. La versión 9.2.0 contiene un parche para el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en Kiteworks (CVE-2026-28271)
Fecha de publicación:
27/02/2026
Idioma:
Español
Kiteworks es una red de datos privada (PDN). Antes de la versión 9.2.0, una vulnerabilidad en la funcionalidad de configuración de Kiteworks permite eludir las protecciones de SSRF a través de ataques de reencuadernación de DNS. Administradores maliciosos podrían explotar esto para acceder a servicios internos que deberían estar restringidos. La versión 9.2.0 contiene un parche para el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en Kiteworks (CVE-2026-28272)
Fecha de publicación:
27/02/2026
Idioma:
Español
Kiteworks es una red de datos privada (PDN). Antes de la versión 9.2.0, una vulnerabilidad en Kiteworks Email Protection Gateway permite a los administradores autenticados inyectar scripts maliciosos a través de una interfaz de configuración. El script almacenado se ejecuta cuando los usuarios interactúan con la interfaz de usuario afectada. La versión 9.2.0 contiene un parche para el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en Vikunja (CVE-2026-28268)
Fecha de publicación:
27/02/2026
Idioma:
Español
Vikunja es una plataforma de gestión de tareas de código abierto autoalojada. En las versiones anteriores a la 2.1.0, existe una vulnerabilidad de lógica de negocio en el mecanismo de restablecimiento de contraseña de vikunja/API que permite que los tokens de restablecimiento de contraseña sean reutilizados indefinidamente. Debido a un fallo en la invalidación de tokens tras su uso y a un error de lógica crítico en el trabajo cron de limpieza de tokens, los tokens de restablecimiento permanecen válidos para siempre. Esto permite a un atacante que intercepta un único token de restablecimiento (a través de registros, historial del navegador o phishing) realizar una toma de control de cuenta completa y persistente en cualquier momento en el futuro, eludiendo los controles de autenticación estándar. La versión 2.1.0 contiene un parche para el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/03/2026

Vulnerabilidad en Dify de Langgenius (CVE-2026-28288)
Fecha de publicación:
27/02/2026
Idioma:
Español
Dify es una plataforma de desarrollo de aplicaciones LLM de código abierto. Antes de la versión 1.9.0, las respuestas de la API de Dify a cuentas existentes y no existentes difieren, permitiendo a un atacante enumerar direcciones de correo electrónico registradas en Dify. La versión 1.9.0 soluciona el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en HTTP::Session2 (CVE-2018-25160)
Fecha de publicación:
27/02/2026
Idioma:
Español
Las versiones de HTTP::Session2 hasta la 1.09 para Perl no validan el formato de los ID de sesión proporcionados por el usuario, lo que permite la inyección de código u otro impacto dependiendo del backend de la sesión.<br /> <br /> Por ejemplo, si una aplicación utiliza memcached para el almacenamiento de sesiones, entonces puede ser posible para un atacante remoto inyectar comandos de memcached en el valor del ID de sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en HTTP::Session2 de TOKUHIROM (CVE-2026-3255)
Fecha de publicación:
27/02/2026
Idioma:
Español
Las versiones de HTTP::Session2 anteriores a la 1.12 para Perl pueden generar identificadores de sesión débiles utilizando la función rand().<br /> <br /> El generador de identificadores de sesión de HTTP::Session2 devuelve un hash SHA-1 inicializado con la función rand incorporada, el tiempo de época y el PID. El PID provendrá de un pequeño conjunto de números, y el tiempo de época puede ser adivinado, si no se filtra del encabezado HTTP Date. La función rand() incorporada no es adecuada para uso criptográfico.<br /> <br /> HTTP::Session2 después de la versión 1.02 intentará usar el dispositivo /dev/urandom para generar un identificador de sesión, pero si el dispositivo no está disponible (por ejemplo, bajo Windows), entonces revertirá al método inseguro descrito anteriormente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en ClipBucket (CVE-2026-28354)
Fecha de publicación:
27/02/2026
Idioma:
Español
ClipBucket v5 es una plataforma de código abierto para compartir videos. Antes de la versión 5.5.3 #59, las operaciones de elementos de colección son vulnerables a fallos de autorización, permitiendo a un usuario autenticado normal modificar los elementos de colección de otro usuario. Esto afecta tanto a la adición de elementos (/actions/add_to_collection.PHP) debido a la falta de comprobaciones de autorización como a la eliminación de elementos (/manage_collections.PHP?mode=manage_items...) debido a una comprobación de propiedad defectuosa en removeItemFromCollection(). Como resultado, los atacantes pueden insertar y eliminar elementos de colecciones que no les pertenecen. La versión 5.5.3 #59 corrige el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/03/2026

Vulnerabilidad en Group-Office de Intermesh (CVE-2026-27832)
Fecha de publicación:
27/02/2026
Idioma:
Español
Group-Office es una herramienta empresarial de gestión de relaciones con clientes y groupware. Las versiones anteriores a la 26.0.8, 25.0.87 y 6.8.153 tienen una vulnerabilidad de inyección SQL (SQLi), explotable a través del parámetro &amp;#39;advancedQueryData&amp;#39; (campo &amp;#39;comparator&amp;#39;) en un endpoint autenticado. El endpoint &amp;#39;index.php?r=email/template/emailSelection&amp;#39; procesa &amp;#39;advancedQueryData&amp;#39; y reenvía el comparador SQL sin una lista de permitidos estricta a la construcción de condiciones SQL. Esto permite la exfiltración ciega basada en booleanos de la tabla &amp;#39;core_auth_password&amp;#39;. Las versiones 26.0.8, 25.0.87 y 6.8.153 solucionan el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en phpMyFAQ de Thorsten (CVE-2026-27836)
Fecha de publicación:
27/02/2026
Idioma:
Español
phpMyFAQ es una aplicación web de preguntas frecuentes de código abierto. Antes de la versión 4.0.18, el endpoint de preparación de WebAuthn (&amp;#39;/API/webauthn/prepare&amp;#39;) crea nuevas cuentas de usuario activas sin ninguna autenticación, protección CSRF, captcha o comprobaciones de configuración. Esto permite a atacantes no autenticados crear cuentas de usuario ilimitadas incluso cuando el registro está deshabilitado. La versión 4.0.18 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en Group-Office (CVE-2026-27947)
Fecha de publicación:
27/02/2026
Idioma:
Español
Group-Office es una herramienta empresarial de gestión de relaciones con clientes y groupware. Las versiones anteriores a 26.0.9, 25.0.87 y 6.8.154 tienen una vulnerabilidad de ejecución remota de código autenticada en el flujo de procesamiento de adjuntos TNEF. La ruta vulnerable extrae archivos controlados por el atacante de &amp;#39;winmail.dat&amp;#39; y luego invoca &amp;#39;zip&amp;#39; con un comodín de shell (&amp;#39;*&amp;#39;). Debido a que los nombres de archivo extraídos son controlados por el atacante, pueden ser interpretados como opciones de &amp;#39;zip&amp;#39; y conducir a la ejecución de comandos arbitrarios. Las versiones 26.0.9, 25.0.87 y 6.8.154 solucionan el problema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
04/03/2026
Suscribirse a Vulnerabilidades