Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en pillow_heif de bigcat88 (CVE-2026-28231)
Fecha de publicación:
27/02/2026
Idioma:
Español
pillow_heif es una librería de Python para trabajar con imágenes HEIF y un plugin para Pillow. Antes de la versión 1.3.0, un desbordamiento de entero en la validación del búfer de la ruta de codificación de _pillow_heif.c permite a un atacante eludir las comprobaciones de límites al proporcionar grandes dimensiones de imagen, lo que resulta en una lectura fuera de límites del heap. Esto puede conducir a la revelación de información (fuga de memoria del heap del servidor en las imágenes codificadas) o a la denegación de servicio (caída del proceso). No se requiere ninguna configuración especial; esto se activa con la configuración predeterminada. La versión 1.3.0 corrige el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en Seerr de seerr-team (CVE-2026-27792)
Fecha de publicación:
27/02/2026
Idioma:
Español
Seerr es un gestor de solicitudes y descubrimiento de medios de código abierto para Jellyfin, Plex y Emby. Se ha identificado una vulnerabilidad por falta de autorización en la aplicación a partir de la versión 2.7.0 y anterior a la versión 3.1.0. Permite a usuarios autenticados acceder y modificar datos pertenecientes a otros usuarios. Este problema se debe a la ausencia del middleware `isOwnProfileOrAdmin()` en varias rutas de la API de suscripción push. La versión 3.1.0 soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en Seerr de seerr-team (CVE-2026-27793)
Fecha de publicación:
27/02/2026
Idioma:
Español
Seerr es un gestor de solicitudes y descubrimiento de medios de código abierto para Jellyfin, Plex y Emby. Antes de la versión 3.1.0, el endpoint 'GET /api/v1/user/:id' devuelve el objeto de configuración completo para cualquier usuario, incluyendo credenciales de Pushover, Pushbullet y Telegram, a cualquier solicitante autenticado independientemente de su nivel de privilegio. Esta vulnerabilidad puede ser explotada sola o combinada con la vulnerabilidad de creación de cuentas no autenticadas reportada, CVE-2026-27707. Cuando se combinan, las dos vulnerabilidades crean una cadena de acceso previo cero que filtra credenciales de API de terceros para todos los usuarios, incluyendo administradores. La versión 3.1.0 contiene una solución para esta vulnerabilidad y para CVE-2026-27707.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en calibre de kovidgoyal (CVE-2026-27810)
Fecha de publicación:
27/02/2026
Idioma:
Español
calibre es un gestor de libros electrónicos multiplataforma para ver, convertir, editar y catalogar libros electrónicos. Antes de la versión 9.4.0, una vulnerabilidad de inyección de encabezado de respuesta HTTP en el servidor de contenido de calibre permite a cualquier usuario autenticado inyectar encabezados HTTP arbitrarios en las respuestas del servidor a través de un parámetro de consulta 'content_disposition' no saneado en los puntos finales '/get/' y '/data-files/get/'. Todos los usuarios que ejecutan el servidor de contenido de calibre con la autenticación habilitada se ven afectados. La vulnerabilidad es explotable por cualquier usuario autenticado y también puede ser activada engañando a una víctima autenticada para que haga clic en un enlace manipulado. La versión 9.4.0 contiene una solución para el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en calibre de kovidgoyal (CVE-2026-27824)
Fecha de publicación:
27/02/2026
Idioma:
Español
calibre es un gestor de libros electrónicos multiplataforma para ver, convertir, editar y catalogar libros electrónicos. Antes de la versión 9.4.0, el mecanismo de protección contra fuerza bruta del servidor de contenido de calibre utiliza una clave de prohibición derivada tanto de 'remote_addr' como del encabezado 'X-Forwarded-For'. Dado que el encabezado 'X-Forwarded-For' se lee directamente de la solicitud HTTP sin ninguna validación o configuración de proxy de confianza, un atacante puede eludir las prohibiciones basadas en IP simplemente cambiando o añadiendo este encabezado, lo que hace que la protección contra fuerza bruta sea completamente ineficaz. Esto es particularmente peligroso para los servidores de calibre expuestos a internet, donde la protección contra fuerza bruta es la defensa principal contra ataques de relleno de credenciales y adivinación de contraseñas. La versión 9.4.0 contiene una solución para el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

CVE-2026-27201
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the situation described is not a vulnerability.
Gravedad: Pendiente de análisis
Última modificación:
27/02/2026

CVE-2026-27500
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the situation described is not a vulnerability.
Gravedad: Pendiente de análisis
Última modificación:
27/02/2026

CVE-2026-27501
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the situation described is not a vulnerability.
Gravedad: Pendiente de análisis
Última modificación:
27/02/2026

CVE-2026-27573
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the situation described is not a vulnerability.
Gravedad: Pendiente de análisis
Última modificación:
27/02/2026

CVE-2026-27580
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the situation described is not a vulnerability.
Gravedad: Pendiente de análisis
Última modificación:
27/02/2026

CVE-2026-27581
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the situation described is not a vulnerability.
Gravedad: Pendiente de análisis
Última modificación:
27/02/2026

CVE-2026-27582
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Further research determined the situation described is not a vulnerability.
Gravedad: Pendiente de análisis
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades