Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en QloApps hotel eCommerce (CVE-2021-41074)
Fecha de publicación:
12/01/2026
Idioma:
Español
Un problema de CSRF en index.php en QloApps hotel eCommerce 1.5.1 permite a un atacante cambiar la dirección de correo electrónico del administrador a través de un documento HTML manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2026

Vulnerabilidad en Sourcecodester Covid-19 Contact Tracing System (CVE-2025-66802)
Fecha de publicación:
12/01/2026
Idioma:
Español
Sourcecodester Covid-19 Contact Tracing System 1.0 es vulnerable a RCE (ejecución remota de código). La aplicación recibe una shell inversa (PHP) en la imagen del usuario, lo que permite la RCE.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/01/2026

Vulnerabilidad en kashipara Online Exam System (CVE-2025-51567)
Fecha de publicación:
12/01/2026
Idioma:
Español
Se encontró una inyección SQL en la página /exam/user/profile.php de kashipara Online Exam System V1.0, lo que permite a atacantes remotos ejecutar comando SQL arbitrario para obtener acceso no autorizado a la base de datos a través de los parámetros rname, rcollage, rnumber, rgender y rpassword en una solicitud HTTP POST.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/01/2026

Vulnerabilidad en API de xmall (CVE-2023-36331)
Fecha de publicación:
12/01/2026
Idioma:
Español
Control de acceso incorrecto en la API /member/orderList de xmall v1.1 permite a los atacantes acceder arbitrariamente a los detalles de pedidos de otros usuarios mediante la manipulación del parámetro de consulta userId.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/01/2026

Vulnerabilidad en Lychee de LycheeOrg (CVE-2026-22784)
Fecha de publicación:
12/01/2026
Idioma:
Español
Lychee es una herramienta de gestión de fotos gratuita y de código abierto. Anterior a la versión 7.1.0, existe una vulnerabilidad de autorización en la funcionalidad de desbloqueo de álbumes con contraseña de Lychee que permite a los usuarios obtener acceso posiblemente no autorizado a los álbumes protegidos con contraseña de otros usuarios. Cuando un usuario desbloquea un álbum público protegido con contraseña, el sistema desbloquea automáticamente TODOS los demás álbumes públicos que comparten la misma contraseña, lo que resulta en una omisión completa de la autorización. Esta vulnerabilidad se corrigió en la versión 7.1.0.
Gravedad CVSS v4.0: BAJA
Última modificación:
16/01/2026

Vulnerabilidad en orval de orval-labs (CVE-2026-22785)
Fecha de publicación:
12/01/2026
Idioma:
Español
orval genera clientes JS con seguridad de tipos (TypeScript) a partir de cualquier especificación OpenAPI v3 o Swagger v2 válida. Antes de la versión 7.18.0, la lógica de generación del servidor MCP se basa en la manipulación de cadenas que incorpora el campo 'summary' de la especificación OpenAPI sin una validación o escape adecuados. Esto permite a un atacante 'escapar' del literal de cadena e inyectar código arbitrario. Esta vulnerabilidad está corregida en la versión 7.18.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
26/02/2026

Vulnerabilidad en LibreChat de danny-avila (CVE-2026-22252)
Fecha de publicación:
12/01/2026
Idioma:
Español
LibreChat es un clon de ChatGPT con características adicionales. Antes de la v0.8.2-rc2, el transporte MCP stdio de LibreChat acepta comandos arbitrarios sin validación, permitiendo a cualquier usuario autenticado ejecutar comandos de shell como root dentro del contenedor a través de una única solicitud de API. Esta vulnerabilidad está corregida en la v0.8.2-rc2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/01/2026

Vulnerabilidad en gateway de envoyproxy (CVE-2026-22771)
Fecha de publicación:
12/01/2026
Idioma:
Español
Envoy Gateway es un proyecto de código abierto para gestionar Envoy Proxy como una pasarela de aplicaciones independiente o basada en Kubernetes. Antes de las versiones 1.5.7 y 1.6.2, los scripts Lua de EnvoyExtensionPolicy ejecutados por el proxy Envoy pueden ser utilizados para filtrar las credenciales del proxy. Estas credenciales pueden entonces ser utilizadas para comunicarse con el plano de control y obtener acceso a todos los secretos que son utilizados por el proxy Envoy, por ejemplo, claves privadas TLS y credenciales utilizadas para la comunicación descendente y ascendente. Esta vulnerabilidad está corregida en las versiones 1.5.7 y 1.6.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/02/2026

Vulnerabilidad en cpp-httplib de yhirose (CVE-2026-22776)
Fecha de publicación:
12/01/2026
Idioma:
Español
cpp-httplib es una biblioteca C++11 multiplataforma, de un solo archivo y solo de cabecera HTTP/HTTPS. Antes de la versión 0.30.1, existe una vulnerabilidad de denegación de servicio (DoS) en cpp-httplib debido al manejo inseguro de cuerpos de solicitud HTTP comprimidos (Content-Encoding: gzip, br, etc.). La biblioteca valida el payload_max_length contra el tamaño de los datos comprimidos recibidos de la red, pero no limita el tamaño de los datos descomprimidos almacenados en memoria.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/01/2026

Vulnerabilidad en TinyWeb de maximmasiutin (CVE-2026-22781)
Fecha de publicación:
12/01/2026
Idioma:
Español
TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. TinyWeb HTTP Server anterior a la versión 1.98 es vulnerable a inyección de comandos del sistema operativo a través de parámetros de consulta de estilo ISINDEX de CGI. Los parámetros de consulta se pasan como argumentos de línea de comandos al ejecutable CGI a través de Windows CreateProcess(). Un atacante remoto no autenticado puede ejecutar comandos arbitrarios en el servidor inyectando metacaracteres de shell de Windows en las solicitudes HTTP. Esta vulnerabilidad está corregida en la versión 1.98.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
16/01/2026

Vulnerabilidad en iris-web de dfir-iris (CVE-2026-22783)
Fecha de publicación:
12/01/2026
Idioma:
Español
Iris es una plataforma web colaborativa que ayuda a los respondedores de incidentes a compartir detalles técnicos durante las investigaciones. Antes de la versión 2.4.24, el sistema de gestión de archivos del almacén de datos de DFIR-IRIS tiene una vulnerabilidad donde la asignación masiva del campo file_local_name combinada con la confianza en la ruta en la operación de eliminación permite a los usuarios autenticados eliminar rutas arbitrarias del sistema de archivos. La vulnerabilidad se manifiesta a través de una cadena de ataque de tres pasos: los usuarios autenticados suben un archivo al almacén de datos, actualizan el campo file_local_name del archivo para que apunte a una ruta arbitraria del sistema de archivos mediante asignación masiva, luego activan la operación de eliminación que elimina el archivo objetivo sin validación de ruta. Esta vulnerabilidad está corregida en la versión 2.4.24.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/01/2026

Vulnerabilidad en osTicket de Enhancesoft (CVE-2026-22200)
Fecha de publicación:
12/01/2026
Idioma:
Español
Las versiones de Enhancesoft osTicket 1.18.x anteriores a la 1.18.3 y 1.17.x anteriores a la 1.17.7 contienen una vulnerabilidad de lectura arbitraria de archivos en la funcionalidad de exportación de tickets a PDF. Un atacante remoto puede enviar un ticket que contenga HTML de texto enriquecido manipulado que incluye expresiones de filtro de PHP que no se sanean suficientemente antes de ser procesadas por el generador de PDF mPDF durante la exportación. Cuando el atacante exporta el ticket a PDF, el PDF generado puede incrustar el contenido de archivos seleccionados por el atacante del sistema de archivos del servidor como imágenes de mapa de bits, permitiendo la divulgación de archivos locales sensibles en el contexto del usuario de la aplicación osTicket. Este problema es explotable en configuraciones predeterminadas donde los invitados pueden crear tickets y acceder al estado de los tickets, o donde el auto-registro está habilitado.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/01/2026
Suscribirse a Vulnerabilidades