Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ImageMagick (CVE-2026-27798)
Fecha de publicación:
26/02/2026
Idioma:
Español
ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, ocurre una vulnerabilidad de lectura excesiva del búfer de pila al procesar una imagen con dimensiones pequeñas utilizando el operador -wavelet-denoise. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Parse Server (CVE-2026-27804)
Fecha de publicación:
26/02/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede implementarse en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.3 y 9.1.1-alpha.4, un atacante no autenticado puede falsificar un token de autenticación de Google con 'alg: "none"' para iniciar sesión como cualquier usuario vinculado a una cuenta de Google, sin conocer sus credenciales. Todas las implementaciones con autenticación de Google habilitada se ven afectadas. La corrección en las versiones 8.6.3 y 9.1.1-alpha.4 codifica de forma rígida el algoritmo 'RS256' esperado en lugar de confiar en el encabezado JWT, y reemplaza el recuperador de claves personalizado del adaptador de Google con 'jwks-rsa' que rechaza los ID de clave desconocidos. Como solución alternativa, deshabilite la autenticación de Google hasta que sea posible la actualización.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
04/03/2026

Vulnerabilidad en Zed (CVE-2026-27800)
Fecha de publicación:
26/02/2026
Idioma:
Español
Zed, un editor de código, presenta una vulnerabilidad de Zip Slip (salto de ruta) en su funcionalidad de extracción de archivos de extensión anterior a la versión 0.224.4. La función 'extract_zip()' en 'crates/util/src/archive.rs' no valida los nombres de archivo de las entradas ZIP en busca de secuencias de salto de ruta (por ejemplo, '../'). Esto permite que una extensión maliciosa escriba archivos fuera de su directorio sandbox designado al descargar y extraer un archivo ZIP manipulado. La versión 0.224.4 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en Model Context Protocol Servers (CVE-2026-27735)
Fecha de publicación:
26/02/2026
Idioma:
Español
Servidores de Protocolo de Contexto de Modelo es una colección de implementaciones de referencia para el protocolo de contexto de modelo (MCP). En versiones de mcp-server-git anteriores a 2026.1.14, la herramienta git_add no validaba que las rutas de archivo proporcionadas en el argumento files estuvieran dentro de los límites del repositorio. Debido a que la herramienta utilizaba repo.index.add() de GitPython en lugar de la CLI de Git, las rutas relativas que contenían secuencias '../' que se resolvían fuera del repositorio eran aceptadas y preparadas en el índice de Git. Se aconseja a los usuarios que actualicen a la versión 2026.1.14 o posterior para solucionar este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/04/2026

Vulnerabilidad en NanaZip (CVE-2026-27711)
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y antes de las versiones 6.0.1638.0 y 6.5.1638.0, una vulnerabilidad de corrupción de memoria en el analizador UFS de NanaZip permite que un archivo '.ufs/.ufs2/.img' manipulado active un acceso a memoria fuera de límites durante la apertura/listado del archivo. El error es accesible a través del flujo normal de apertura de archivos por parte del usuario y puede causar el bloqueo del proceso, el cuelgue y una corrupción de pila potencialmente explotable. Las versiones 6.0.1638.0 y 6.5.1638.0 solucionan el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en NanaZip (CVE-2026-27710)
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y anterior a las versiones 6.0.1638.0 y 6.5.1638.0, existe una vulnerabilidad de denegación de servicio en el analizador de 'aplicación de archivo único .NET' de NanaZip. Un paquete manipulado puede forzar un desbordamiento negativo de enteros en el cálculo del tamaño de la cabecera y desencadenar un intento de asignación de memoria ilimitada durante la apertura del archivo. Las versiones 6.0.1638.0 y 6.5.1638.0 corrigen el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en NanaZip (CVE-2026-27709)
Fecha de publicación:
26/02/2026
Idioma:
Español
NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y anteriores a las versiones 6.0.1638.0 y 6.5.1638.0, el analizador de 'Aplicación de Archivo Único .NET' de NanaZip tiene una vulnerabilidad de lectura fuera de límites en el análisis del manifiesto. Un paquete manipulado puede proporcionar una 'RelativePathLength' malformada de modo que el analizador construye un 'std::string' a partir de memoria más allá de 'HeaderBuffer', lo que lleva a un fallo y a una posible divulgación de memoria en proceso. Las versiones 6.0.1638.0 y 6.5.1638.0 solucionan el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Manyfold (CVE-2026-27635)
Fecha de publicación:
26/02/2026
Idioma:
Español
Manyfold es una aplicación web de código abierto y autoalojada para gestionar una colección de modelos 3D, particularmente enfocada en la impresión 3D. Antes de la versión 0.133.0, cuando la generación de renderizados de modelos está habilitada, un usuario autenticado puede lograr RCE al subir un archivo ZIP que contiene un archivo con un metacaracter de shell en su nombre. El nombre del archivo llega a una llamada de backtick de Ruby sin sanear. La versión 0.133.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en TinyWeb (CVE-2026-27633)
Fecha de publicación:
26/02/2026
Idioma:
Español
TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Las versiones anteriores a la versión 2.02 tienen una vulnerabilidad de denegación de servicio (DoS) a través del agotamiento de la memoria. Atacantes remotos no autenticados pueden enviar una solicitud POST HTTP al servidor con una cabecera 'Content-Length' excepcionalmente grande (p. ej., '2147483647'). El servidor asigna continuamente memoria para el cuerpo de la solicitud ('EntityBody') mientras transmite la carga útil sin imponer ningún límite máximo, lo que lleva a que toda la memoria disponible sea consumida y provoca la caída del servidor. Cualquiera que aloje servicios usando TinyWeb se ve afectado. La versión 2.02 corrige el problema. El parche introduce un límite 'CMaxEntityBodySize' (establecido en 10MB) para el tamaño máximo de las cargas útiles aceptadas. Como solución alternativa temporal si la actualización no es posible de inmediato, considere colocar el servidor detrás de un Cortafuegos de Aplicaciones Web (WAF) o un proxy inverso (como nginx o Cloudflare) configurado para limitar explícitamente el tamaño máximo permitido del cuerpo de la solicitud HTTP (p. ej., 'client_max_body_size' en nginx).
Gravedad CVSS v4.0: ALTA
Última modificación:
28/02/2026

Vulnerabilidad en TinyWeb (CVE-2026-27630)
Fecha de publicación:
26/02/2026
Idioma:
Español
TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Las versiones anteriores a la 2.02 son vulnerables a un ataque de denegación de servicio (DoS) conocido como Slowloris. El servidor genera un nuevo hilo del sistema operativo para cada conexión entrante sin imponer un límite máximo de concurrencia o un tiempo de espera de solicitud adecuado. Un atacante remoto no autenticado puede agotar los límites de concurrencia del servidor y la memoria abriendo numerosas conexiones y enviando datos excepcionalmente lento (por ejemplo, 1 byte cada pocos minutos). Cualquiera que aloje servicios usando TinyWeb se ve afectado. La versión 2.02 corrige el problema. El parche introduce un límite 'CMaxConnections' (establecido en 512) y un tiempo de espera de inactividad 'CConnectionTimeoutSecs' (establecido en 30 segundos). Como solución alternativa temporal si la actualización no es posible de inmediato, considere colocar el servidor detrás de un proxy inverso robusto o un cortafuegos de aplicaciones web (WAF) como nginx, HAProxy o Cloudflare, configurado para almacenar en búfer las solicitudes incompletas y aplicar agresivamente los límites y tiempos de espera de conexión.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/02/2026

Vulnerabilidad en Fleet (CVE-2026-26186)
Fecha de publicación:
26/02/2026
Idioma:
Español
Fleet es un software de gestión de dispositivos de código abierto. Una vulnerabilidad de inyección SQL en versiones anteriores a la 4.80.1 permitía a usuarios autenticados inyectar expresiones SQL arbitrarias a través del parámetro de consulta `order_key`. Debido al uso inseguro de `goqu.I()` al construir la cláusula `ORDER BY`, una entrada especialmente diseñada podría evadir el entrecomillado de identificadores y ser interpretada como SQL ejecutable. Un atacante autenticado con acceso al endpoint afectado podría inyectar expresiones SQL en la consulta MySQL subyacente. Aunque la inyección ocurre en un contexto `ORDER BY`, es suficiente para habilitar técnicas de inyección SQL ciega que pueden divulgar información de la base de datos a través de expresiones condicionales que afectan el orden de los resultados. Las expresiones diseñadas también pueden causar una computación excesiva o fallos en las consultas, lo que podría llevar a un rendimiento degradado o a una denegación de servicio. No se demostró evidencia directa de modificación de datos fiable o ejecución de consultas apiladas. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los usuarios deben restringir el acceso al endpoint afectado solo a roles de confianza y asegurarse de que cualquier parámetro de ordenación o columna proporcionado por el usuario esté estrictamente en una lista blanca en la capa de aplicación o proxy.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026

Vulnerabilidad en TinyWeb (CVE-2026-27613)
Fecha de publicación:
25/02/2026
Idioma:
Español
TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Una vulnerabilidad en versiones anteriores a la 2.01 permite a atacantes remotos no autenticados eludir los controles de seguridad de parámetros CGI del servidor web. Dependiendo de la configuración del servidor y del ejecutable CGI específico en uso, el impacto es la divulgación de código fuente o la ejecución remota de código (RCE). Cualquiera que aloje scripts CGI (particularmente lenguajes interpretados como PHP) usando versiones vulnerables de TinyWeb está afectado. El problema ha sido parcheado en la versión 2.01. Si la actualización no es posible de inmediato, asegúrese de que `STRICT_CGI_PARAMS` esté habilitado (está definido por defecto en `define.inc`) y/o no utilice ejecutables CGI que acepten de forma nativa indicadores de línea de comandos peligrosos (como `php-cgi.exe`). Si aloja PHP, considere colocar el servidor detrás de un cortafuegos de aplicaciones web (WAF) que bloquee explícitamente los parámetros de cadena de consulta de URL que comienzan con un guion (`-`) o contienen comillas dobles codificadas (`%22`).
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
04/03/2026
Suscribirse a Vulnerabilidades