Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en EmployeeController.java. (CVE-2026-2860)
Fecha de publicación:
21/02/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en feng_ha_ha/megagao ssm-erp y production_ssm hasta 4288d53bd35757b27f2d070057aefb2c07bdd097. Afectada es una función desconocida del archivo EmployeeController.java. La manipulación conduce a una autorización indebida. Es posible iniciar el ataque remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. Este producto está utilizando una versión continua para proporcionar entrega continua. Por lo tanto, no hay detalles de versión disponibles para las versiones afectadas ni actualizadas. Este producto se distribuye bajo dos nombres completamente diferentes. El proyecto fue informado del problema tempranamente a través de un informe de problema pero aún no ha respondido.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

CVE-2026-27527
Fecha de publicación:
21/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/02/2026

CVE-2026-27528
Fecha de publicación:
21/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/02/2026

CVE-2026-27529
Fecha de publicación:
21/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/02/2026

CVE-2026-27530
Fecha de publicación:
21/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/02/2026

CVE-2026-27531
Fecha de publicación:
21/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/02/2026

Vulnerabilidad en D-Tale (CVE-2026-27194)
Fecha de publicación:
21/02/2026
Idioma:
Español
D-Tale es un visualizador para estructuras de datos de pandas. Las versiones anteriores a la 3.20.0 son vulnerables a la ejecución remota de código a través del endpoint /save-column-filter. Los usuarios que alojan D-Tale públicamente pueden ser vulnerables a la ejecución remota de código, lo que permite a los atacantes ejecutar código malicioso en el servidor. Este problema ha sido solucionado en la versión 3.20.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en Sentry (CVE-2026-27197)
Fecha de publicación:
21/02/2026
Idioma:
Español
Sentry es una herramienta de seguimiento de errores y monitoreo de rendimiento diseñada para desarrolladores. Las versiones 21.12.0 a la 26.1.0 tienen una vulnerabilidad crítica en su implementación de SAML SSO que permite a un atacante tomar el control de cualquier cuenta de usuario mediante el uso de un proveedor de identidad SAML malicioso y otra organización en la misma instancia de Sentry. Los usuarios autoalojados solo están en riesgo si se cumplen los siguientes criterios: más de una organización está configurada (SENTRY_SINGLE_ORGANIZATION = True), o un usuario malicioso tiene acceso y permisos existentes para modificar la configuración de SSO para otra organización en una instancia multi-organización. Este problema ha sido solucionado en la versión 26.2.0. Como solución alternativa a este problema, implemente la autenticación de dos factores basada en la cuenta de usuario para evitar que un atacante pueda completar la autenticación con la cuenta de usuario de una víctima. Los administradores de la organización no pueden hacer esto en nombre de un usuario; esto requiere que los usuarios individuales se aseguren de que la 2FA ha sido habilitada para su cuenta.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/02/2026

Vulnerabilidad en Statmatic (CVE-2026-27196)
Fecha de publicación:
21/02/2026
Idioma:
Español
Statmatic es un sistema de gestión de contenido (CMS) impulsado por Laravel y Git. Las versiones 5.73.8 e inferiores, además de la 6.0.0-alpha.1 hasta la 6.3.1, tienen una vulnerabilidad de XSS Almacenado en los tipos de campo html que permite a usuarios autenticados con permisos de gestión de campos inyectar JavaScript malicioso que se ejecuta cuando es visto por usuarios con mayores privilegios. Este problema ha sido solucionado en 6.3.2 y 5.73.9.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en Feathersjs (CVE-2026-27193)
Fecha de publicación:
21/02/2026
Idioma:
Español
Feathersjs es un framework para crear API web y aplicaciones en tiempo real con TypeScript o JavaScript. En las versiones 5.0.39 e inferiores, todos los encabezados de solicitud HTTP se almacenan en la cookie de sesión, la cual está firmada pero no cifrada, exponiendo los encabezados internos de proxy/gateway a los clientes. El servicio OAuth almacena el objeto completo de encabezados en la sesión, luego la sesión se persiste utilizando cookie-session, que codifica los datos en base64. Aunque la cookie está firmada para evitar la manipulación, el contenido es legible por cualquiera simplemente decodificando el valor base64. Bajo configuraciones de despliegue específicas (por ejemplo, detrás de proxies inversos o gateways de API), esto puede llevar a la exposición de detalles sensibles de la infraestructura interna, como claves de API, tokens de servicio y direcciones IP internas. Este problema ha sido solucionado en la versión 5.0.40.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en Feathersjs (CVE-2026-27192)
Fecha de publicación:
21/02/2026
Idioma:
Español
Feathersjs es un framework para crear APIs web y aplicaciones en tiempo real con TypeScript o JavaScript. En las versiones 5.0.39 e inferiores, la validación de origen utiliza startsWith() para la comparación, lo que permite a los atacantes eludir la verificación al registrar un dominio que comparte un prefijo común con un origen permitido. La función getAllowedOrigin() comprueba si el encabezado Referer comienza con cualquier origen permitido, y esta comparación es insuficiente ya que solo valida el prefijo. Esto es explotable cuando el array de orígenes está configurado y un atacante registra un dominio que comienza con una cadena de origen permitida (p. ej., https://target.com.attacker.com elude https://target.com). Por sí solos, los tokens siguen siendo redirigidos a un origen configurado. Sin embargo, en escenarios específicos un atacante puede iniciar el flujo de OAuth desde un origen no autorizado y exfiltrar tokens, logrando una toma de control total de la cuenta. Este problema ha sido solucionado en la versión 5.0.40.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en Feathersjs (CVE-2026-27191)
Fecha de publicación:
21/02/2026
Idioma:
Español
Feathersjs es un framework para crear APIs web y aplicaciones en tiempo real con TypeScript o JavaScript. En las versiones 5.0.39 e inferiores, el parámetro de consulta redirect se añade al origen base sin validación, permitiendo a los atacantes robar tokens de acceso mediante inyección de autoridad de URL. Esto lleva a una toma de control total de la cuenta, ya que el atacante obtiene el token de acceso de la víctima y puede suplantarla. La aplicación construye la URL de redirección final concatenando el origen base con el parámetro redirect proporcionado por el usuario. Esto es explotable cuando el array de orígenes está configurado y los valores de origen no terminan con /. Un atacante puede proporcionar @attacker.com como valor de redirección, lo que resulta en https://target.com@attacker.com#access_token=..., donde el navegador interpreta attacker.com como el host, lo que lleva a una toma de control total de la cuenta. Este problema ha sido solucionado en la versión 5.0.40.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026
Suscribirse a Vulnerabilidades