Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en appsmithorg (CVE-2026-24042)
Fecha de publicación:
22/01/2026
Idioma:
Español
Appsmith es una plataforma para construir paneles de administración, herramientas internas y paneles de control. En las versiones 1.94 e inferiores, las aplicaciones de acceso público permiten a usuarios no autenticados ejecutar acciones no publicadas (en modo edición) enviando viewMode=false (o omitiéndolo) a POST /API/v1/actions/execute. Esto elude el límite de publicación esperado donde los espectadores públicos solo deberían ejecutar acciones publicadas, no versiones en modo edición. Un ataque puede resultar en exposición de datos sensibles, ejecución de consultas y API en modo edición, acceso a datos de desarrollo y la capacidad de desencadenar comportamientos con efectos secundarios. Este problema no tiene una solución publicada en el momento de la publicación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/02/2026

Vulnerabilidad en langfuse (CVE-2026-24055)
Fecha de publicación:
22/01/2026
Idioma:
Español
Langfuse es una plataforma de ingeniería de modelos de lenguaje grandes de código abierto. En las versiones 3.146.0 e inferiores, el endpoint /api/public/slack/install inicia el OAuth de Slack utilizando un projectId proporcionado por el cliente sin autenticación ni autorización. El projectId se conserva durante todo el flujo de OAuth, y la devolución de llamada almacena las instalaciones basándose en estos metadatos no confiables. Esto permite a un atacante vincular su espacio de trabajo de Slack a cualquier proyecto y potencialmente recibir cambios en las indicaciones (prompts) almacenadas en Langfuse Prompt Management. Un atacante puede reemplazar las integraciones existentes de Prompt Slack Automation o pre-registrar una maliciosa, aunque esto último requiere que un usuario autenticado la configure sin saberlo a pesar de los indicadores visibles del espacio de trabajo y del canal en la interfaz de usuario (UI). Este problema ha sido solucionado en la versión 3.147.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/02/2026

Vulnerabilidad en Horilla (CVE-2026-24036)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) de código abierto y gratuito. Las versiones 1.4.0 y superiores exponen ofertas de empleo no publicadas a través del endpoint /recruitment/recruitment-details// sin autenticación. La respuesta incluye títulos de puestos de trabajo en borrador, descripciones y un enlace de solicitud, lo que permite a los usuarios no autenticados ver roles no publicados y acceder al flujo de trabajo de solicitud para trabajos no publicados. El acceso no autorizado a las ofertas de empleo no publicadas puede filtrar información interna de contratación sensible y causar confusión entre los candidatos. Este problema ha sido solucionado en la versión 1.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Horilla (CVE-2026-24037)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) gratuito y de código abierto. En la versión 1.4.0, la función has_xss() intenta bloquear XSS comparando la entrada con un conjunto de patrones de expresiones regulares. Sin embargo, las expresiones regulares son incompletas y agnósticas al contexto, lo que las hace fáciles de eludir. Los atacantes pueden redirigir a los usuarios a dominios maliciosos, ejecutar JavaScript externo y robar tokens CSRF que pueden usarse para elaborar ataques CSRF contra administradores. Este problema ha sido solucionado en la versión 1.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Horilla (CVE-2026-24034)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) de código abierto y gratuito. En versiones anteriores a la 1.5.0, se puede activar una vulnerabilidad de cross-site scripting porque la extensión y el tipo de contenido (content-type) no se verifican durante el paso de actualización de la foto de perfil. La versión 1.5.0 soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Horilla (CVE-2026-24035)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) gratuito y de código abierto. Existe una vulnerabilidad de control de acceso inadecuado en el software Horilla HR a partir de la versión 1.4.0 y anterior a la versión 1.5.0, que permite a cualquier empleado autenticado subir documentos en nombre de otro empleado sin la autorización adecuada. Esto ocurre debido a una validación insuficiente del lado del servidor del parámetro employee_id durante las operaciones de carga de archivos, lo que permite a cualquier empleado autenticado subir documentos en nombre de cualquier empleado. La versión 1.5.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Horilla (CVE-2026-24038)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) gratuito y de código abierto. En la versión 1.4.0, la lógica de manejo de OTP tiene una verificación de igualdad defectuosa que puede ser evitada. Cuando un OTP expira, el servidor devuelve None, y si un atacante omite el campo otp de su solicitud POST, el OTP proporcionado por el usuario también es None, haciendo que la comparación user_otp == otp se apruebe. Esto permite a un atacante evitar completamente la autenticación de dos factores sin proporcionar nunca un OTP válido. Si se dirigen a cuentas de administración, podría llevar al compromiso de datos sensibles de RRHH, manipulación de registros de empleados y a un abuso adicional en todo el sistema. Este problema ha sido solucionado en la versión 1.5.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Horilla (CVE-2026-24010)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) de código abierto y gratuito. Una vulnerabilidad crítica de carga de archivos en versiones anteriores a la 1.5.0, con ingeniería social, permite a usuarios autenticados desplegar ataques de phishing. Al cargar un archivo HTML malicioso disfrazado como una imagen de perfil, un atacante puede crear una réplica convincente de página de inicio de sesión que roba credenciales de usuario. Cuando una víctima visita la URL del archivo cargado, ve un mensaje de 'Sesión Expirada' de aspecto auténtico que les solicita volver a autenticarse. Todas las credenciales introducidas son capturadas y enviadas al servidor del atacante, lo que permite la toma de control de cuentas. La versión 1.5.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Seroval (CVE-2026-24006)
Fecha de publicación:
22/01/2026
Idioma:
Español
Seroval facilita la serialización de valores JS, incluyendo estructuras complejas más allá de las capacidades de JSON.stringify. En las versiones 1.4.0 y anteriores, la serialización de objetos con una profundidad extrema puede exceder el límite máximo de la pila de llamadas. En la versión 1.4.1, Seroval introduce un parámetro 'depthLimit' en los métodos de serialización/deserialización. Se lanzará un error si se alcanza el límite de profundidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/04/2026

Vulnerabilidad en sm-crypto de JuneAndGreen (CVE-2026-23967)
Fecha de publicación:
22/01/2026
Idioma:
Español
sm-crypto proporciona implementaciones de JavaScript de los algoritmos criptográficos chinos SM2, SM3 y SM4. Existe una vulnerabilidad de maleabilidad de firma en la lógica de verificación de firma SM2 de la librería sm-crypto anterior a la versión 0.3.14. Un atacante puede derivar una nueva firma válida para un mensaje previamente firmado a partir de una firma existente. La versión 0.3.14 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en go-tuf de theupdateframework (CVE-2026-23991)
Fecha de publicación:
22/01/2026
Idioma:
Español
go-tuf es una implementación en Go de The Update Framework (TUF). A partir de la versión 2.0.0 y antes de la versión 2.3.1, si el repositorio TUF (o cualquiera de sus espejos) devuelve JSON de metadatos TUF no válido (JSON válido pero metadatos TUF no bien formados), el cliente entrará en pánico durante el análisis, causando una denegación de servicio. El pánico ocurre antes de que se valide cualquier firma. Esto significa que un repositorio/espejo/caché comprometido puede DoS a los clientes sin tener acceso a ninguna clave de firma. La versión 2.3.1 soluciona el problema. No hay soluciones alternativas conocidas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2026

Vulnerabilidad en go-tuf de theupdateframework (CVE-2026-23992)
Fecha de publicación:
22/01/2026
Idioma:
Español
go-tuf es una implementación en Go de The Update Framework (TUF). A partir de la versión 2.0.0 y antes de la versión 2.3.1, un repositorio TUF comprometido o mal configurado puede tener el valor configurado de los umbrales de firma establecido en 0, lo que deshabilita efectivamente la verificación de firmas. Esto puede llevar a que sea posible la modificación no autorizada de los archivos de metadatos de TUF en reposo o en tránsito, ya que no se realizan comprobaciones de integridad. La versión 2.3.1 corrige el problema. Como solución alternativa, asegúrese siempre de que los roles de metadatos de TUF estén configurados con un umbral de al menos 1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2026
Suscribirse a Vulnerabilidades