Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en hustoj de zhblue (CVE-2026-24479)
Fecha de publicación:
27/01/2026
Idioma:
Español
HUSTOF es un juez en línea de código abierto basado en PHP/C++/MySQL/Linux para entrenamiento de ACM/ICPC y NOIP. Antes de la versión 26.01.24, los módulos problem_import_qduoj.php y problem_import_hoj.php no logran sanear correctamente los nombres de archivo dentro de los archivos ZIP subidos. Los atacantes pueden crear un archivo ZIP malicioso que contenga archivos con secuencias de salto de ruta (p. ej., ../../shell.php). Cuando es extraído por el servidor, esto permite escribir archivos en ubicaciones arbitrarias en la raíz web, lo que lleva a la Ejecución Remota de Código (RCE). La versión 26.01.24 contiene una solución para el problema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/03/2026

Vulnerabilidad en python-multipart de Kludex (CVE-2026-24486)
Fecha de publicación:
27/01/2026
Idioma:
Español
Python-Multipart es un analizador multipart en streaming para Python. Antes de la versión 0.0.22, existe una vulnerabilidad de salto de ruta al usar opciones de configuración no predeterminadas 'UPLOAD_DIR' y 'UPLOAD_KEEP_FILENAME=True'. Un atacante puede escribir archivos subidos en ubicaciones arbitrarias del sistema de archivos al crear un nombre de archivo malicioso. Los usuarios deben actualizar a la versión 0.0.22 para recibir un parche o, como solución alternativa, evitar usar 'UPLOAD_KEEP_FILENAME=True' en las configuraciones del proyecto.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2026

Vulnerabilidad en MobSF (CVE-2026-24490)
Fecha de publicación:
27/01/2026
Idioma:
Español
MobSF es una herramienta de prueba de seguridad de aplicaciones móviles. Antes de la versión 4.4.5, una vulnerabilidad de Cross-site Scripting (XSS) Almacenado en el análisis del manifiesto de Android de MobSF permite a un atacante ejecutar JavaScript arbitrario en el contexto de la sesión del navegador de una víctima al subir un APK malicioso. El atributo `android:host` de los elementos `` se renderiza en informes HTML sin sanitización, permitiendo el secuestro de sesión y la toma de control de cuentas. La versión 4.4.5 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2026

Vulnerabilidad en go-tuf de theupdateframework (CVE-2026-24686)
Fecha de publicación:
27/01/2026
Idioma:
Español
go-tuf es una implementación en Go de The Update Framework (TUF). El cliente Multirepo TAP 4 de go-tuf utiliza la cadena del nombre del repositorio del archivo de mapa ('repoName') como un componente de ruta del sistema de archivos al seleccionar el directorio de caché de metadatos local. A partir de la versión 2.0.0 y antes de la versión 2.4.1, si una aplicación acepta un archivo de mapa de una fuente no confiable, un atacante puede proporcionar un 'repoName' que contenga recorrido (p. ej., '../escaped-repo') y hacer que go-tuf cree directorios y escriba el archivo de metadatos raíz fuera de la base de caché 'LocalMetadataDir' prevista, dentro de los permisos del sistema de archivos del proceso en ejecución. La versión 2.4.1 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en QGIS de qgis (CVE-2026-24480)
Fecha de publicación:
27/01/2026
Idioma:
Español
QGIS es un sistema de información geográfica (SIG) gratuito, de código abierto y multiplataforma. El repositorio contiene un flujo de trabajo de GitHub Actions llamado 'pre-commit checks' que, antes del commit 76a693cd91650f9b4e83edac525e5e4f90d954e9, era vulnerable a la ejecución remota de código y al compromiso del repositorio porque utilizaba el disparador 'pull_request_target' y luego extraía y ejecutaba código de solicitud de extracción no confiable en un contexto privilegiado. Los flujos de trabajo disparados por 'pull_request_target' se ejecutaban con las credenciales del repositorio base y acceso a los secretos. Si estos flujos de trabajo luego extraían y ejecutaban código de la cabecera de una solicitud de extracción externa (que podría haber sido controlado por el atacante), el atacante podría haber ejecutado comandos arbitrarios con privilegios elevados. Este patrón inseguro ha sido documentado como un riesgo de seguridad por GitHub y los investigadores de seguridad. El commit 76a693cd91650f9b4e83edac525e5e4f90d954e9 eliminó el código vulnerable.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Gakido (CVE-2026-24489)
Fecha de publicación:
27/01/2026
Idioma:
Español
Gakido es un cliente HTTP de Python centrado en la suplantación de navegadores y la evasión de bots. Se descubrió una vulnerabilidad en Gakido anterior a la versión 0.1.1 que permitía la inyección de encabezados HTTP a través de secuencias CRLF (retorno de carro y salto de línea) en los valores y nombres de los encabezados proporcionados por el usuario. Al realizar solicitudes HTTP con valores de encabezado controlados por el usuario que contienen caracteres `\r\n` (CRLF), `\n` (LF) o `\x00` (byte nulo), un atacante podía inyectar encabezados HTTP arbitrarios en la solicitud. La corrección en la versión 0.1.1 añade una función `_sanitize_header()` que elimina los caracteres `\r`, `\n` y `\x00` tanto de los nombres como de los valores de los encabezados antes de que se incluyan en las solicitudes HTTP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en SAP Fiori App Intercompany Balance Reconciliation (CVE-2026-23683)
Fecha de publicación:
27/01/2026
Idioma:
Español
SAP Fiori App Intercompany Balance Reconciliation no realiza las comprobaciones de autorización necesarias para un usuario autenticado, lo que resulta en una escalada de privilegios. Esto tiene un bajo impacto en la confidencialidad, la integridad y la disponibilidad no se ven impactadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en anything-llm de Mintplex-Labs (CVE-2026-24477)
Fecha de publicación:
27/01/2026
Idioma:
Español
AnythingLLM es una aplicación que convierte fragmentos de contenido en contexto que cualquier LLM puede usar como referencias durante el chat. Si AnythingLLM anterior a la versión 1.10.0 está configurado para usar Qdrant como la base de datos vectorial con una clave API, esta QdrantApiKey podría quedar expuesta en texto plano a usuarios no autenticados a través del endpoint `/api/setup-complete`. La fuga de QdrantApiKey permite a un atacante no autenticado acceso completo de lectura/escritura a la instancia de la base de datos vectorial Qdrant utilizada por AnythingLLM. Dado que Qdrant a menudo almacena la base de conocimiento central para RAG en AnythingLLM, esto puede llevar a un compromiso completo de la funcionalidad de búsqueda semántica / recuperación y a la fuga indirecta de documentos confidenciales cargados. La versión 1.10.0 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/01/2026

Vulnerabilidad en anything-llm de Mintplex-Labs (CVE-2026-24478)
Fecha de publicación:
27/01/2026
Idioma:
Español
AnythingLLM es una aplicación que convierte piezas de contenido en contexto que cualquier LLM puede usar como referencias durante el chat. Antes de la versión 1.10.0, una vulnerabilidad crítica de salto de ruta en la integración de DrupalWiki permite a un administrador malicioso (o un atacante que pueda convencer a un administrador para que configure una URL maliciosa de DrupalWiki) escribir archivos arbitrarios en el servidor. Esto puede conducir a la ejecución remota de código (RCE) sobrescribiendo archivos de configuración o escribiendo scripts ejecutables. La versión 1.10.0 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/01/2026

Vulnerabilidad en D-Link DIR-615 (CVE-2026-1448)
Fecha de publicación:
27/01/2026
Idioma:
Español
Se detectó una vulnerabilidad en D-Link DIR-615 hasta la versión 4.10. Esto afecta a una función desconocida del archivo /wiz_policy_3_machine.PHP del componente Interfaz de Gestión Web. Realizar una manipulación del argumento ipaddr resulta en inyección de comandos. Es posible iniciar el ataque de forma remota. El exploit ya es público y puede ser utilizado. Esta vulnerabilidad solo afecta a productos que ya no cuentan con soporte por el mantenedor.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/01/2026

Vulnerabilidad en Hisense TransTech (CVE-2026-1449)
Fecha de publicación:
27/01/2026
Idioma:
Español
Se ha encontrado una falla en el sistema de gestión de autobuses inteligentes Hisense TransTech hasta el 20260113. Afectada es la función Page_Load del archivo YZSoft/Forms/XForm/BM/BusComManagement/TireMng.aspx. La ejecución de una manipulación del argumento key puede llevar a inyección SQL. Es posible lanzar el ataque remotamente. El exploit ha sido publicado y puede ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en Skipper (CVE-2026-24470)
Fecha de publicación:
26/01/2026
Idioma:
Español
Skipper es un router HTTP y proxy inverso para la composición de servicios. Antes de la versión 0.24.0, al ejecutar Skipper como un controlador Ingress, los usuarios con permisos para crear un Ingress y un Servicio de tipo ExternalName pueden crear rutas que les permiten usar el acceso de red de Skipper para alcanzar servicios internos. La versión 0.24.0 deshabilita Kubernetes ExternalName por defecto. Como solución alternativa, los desarrolladores pueden incluir en la lista de permitidos los objetivos de un ExternalName e incluir en la lista de permitidos mediante expresiones regulares.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026
Suscribirse a Vulnerabilidades