Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WebSocket API service de Discord (CVE-2026-24332)
Fecha de publicación:
22/01/2026
Idioma:
Español
Discord hasta el 16 de enero de 2026 permite recopilar información sobre si el estado del cliente de un usuario es Invisible (y no realmente fuera de línea) porque la respuesta a una solicitud de API de WebSocket incluye al usuario en el array de presencias (con 'status': 'offline'), mientras que los usuarios fuera de línea son omitidos del array de presencias. Esto es discutiblemente inconsistente con la descripción de la interfaz de usuario de Invisible como 'Aparecerás fuera de línea'.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en LA-Studio Element (CVE-2026-0920)
Fecha de publicación:
22/01/2026
Idioma:
Español
El plugin LA-Studio Element Kit para Elementor para WordPress es vulnerable a la creación de usuarios administrativos en todas las versiones hasta e incluyendo la 1.5.6.3. Esto se debe a que la función 'ajax_register_handle' no restringe con qué roles de usuario puede registrarse un usuario. Esto hace posible que atacantes no autenticados suministren el parámetro 'lakit_bkrole' durante el registro y obtengan acceso de administrador al sitio.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en wheel de pypa (CVE-2026-24049)
Fecha de publicación:
22/01/2026
Idioma:
Español
wheel es una herramienta de línea de comandos para manipular archivos wheel de Python, según se define en PEP 427. En las versiones 0.40.0 a 0.46.1, la función unpack es vulnerable a la modificación de permisos de archivos debido a un manejo incorrecto de los permisos de archivos después de la extracción. La lógica confía ciegamente en el nombre de archivo del encabezado del archivo comprimido para la operación chmod, a pesar de que el propio proceso de extracción podría haber saneado la ruta. Los atacantes pueden crear un archivo wheel malicioso que, al ser descomprimido, cambia los permisos de archivos críticos del sistema (por ejemplo, /etc /passwd, claves SSH, archivos de configuración), permitiendo la escalada de privilegios o la ejecución de código arbitrario al modificar scripts ahora escribibles. Este problema ha sido solucionado en la versión 0.46.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en pytest (CVE-2025-71176)
Fecha de publicación:
22/01/2026
Idioma:
Español
pytest hasta la versión 9.0.2 en UNIX depende de directorios con el patrón de nombre /tmp/pytest-of-{user}, lo que permite a usuarios locales causar una denegación de servicio o posiblemente obtener privilegios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Horilla (CVE-2026-24039)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) gratuito y de código abierto. La versión 1.4.0 tiene un Control de Acceso Inadecuado, permitiendo a empleados con pocos privilegios autoaprobar documentos que han subido. La interfaz de usuario (UI) de aprobación de documentos está destinada a ser restringida solo a roles de administrador o de grandes privilegios; sin embargo, una verificación de autorización insuficiente del lado del servidor en el endpoint de aprobación permite a un empleado estándar modificar el estado de aprobación de su propio documento subido. Si se explota con éxito, usuarios con permisos solo de nivel de empleado pueden alterar el estado de la aplicación reservado para administradores. Esto socava la integridad de los procesos de RRHH (por ejemplo, la aceptación de credenciales, certificaciones o materiales de apoyo), y puede permitir la presentación de documentos no verificados. Este problema está solucionado en la versión 1.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en appsmithorg (CVE-2026-24042)
Fecha de publicación:
22/01/2026
Idioma:
Español
Appsmith es una plataforma para construir paneles de administración, herramientas internas y paneles de control. En las versiones 1.94 e inferiores, las aplicaciones de acceso público permiten a usuarios no autenticados ejecutar acciones no publicadas (en modo edición) enviando viewMode=false (o omitiéndolo) a POST /API/v1/actions/execute. Esto elude el límite de publicación esperado donde los espectadores públicos solo deberían ejecutar acciones publicadas, no versiones en modo edición. Un ataque puede resultar en exposición de datos sensibles, ejecución de consultas y API en modo edición, acceso a datos de desarrollo y la capacidad de desencadenar comportamientos con efectos secundarios. Este problema no tiene una solución publicada en el momento de la publicación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/02/2026

Vulnerabilidad en langfuse (CVE-2026-24055)
Fecha de publicación:
22/01/2026
Idioma:
Español
Langfuse es una plataforma de ingeniería de modelos de lenguaje grandes de código abierto. En las versiones 3.146.0 e inferiores, el endpoint /api/public/slack/install inicia el OAuth de Slack utilizando un projectId proporcionado por el cliente sin autenticación ni autorización. El projectId se conserva durante todo el flujo de OAuth, y la devolución de llamada almacena las instalaciones basándose en estos metadatos no confiables. Esto permite a un atacante vincular su espacio de trabajo de Slack a cualquier proyecto y potencialmente recibir cambios en las indicaciones (prompts) almacenadas en Langfuse Prompt Management. Un atacante puede reemplazar las integraciones existentes de Prompt Slack Automation o pre-registrar una maliciosa, aunque esto último requiere que un usuario autenticado la configure sin saberlo a pesar de los indicadores visibles del espacio de trabajo y del canal en la interfaz de usuario (UI). Este problema ha sido solucionado en la versión 3.147.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/02/2026

Vulnerabilidad en Horilla (CVE-2026-24036)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) de código abierto y gratuito. Las versiones 1.4.0 y superiores exponen ofertas de empleo no publicadas a través del endpoint /recruitment/recruitment-details// sin autenticación. La respuesta incluye títulos de puestos de trabajo en borrador, descripciones y un enlace de solicitud, lo que permite a los usuarios no autenticados ver roles no publicados y acceder al flujo de trabajo de solicitud para trabajos no publicados. El acceso no autorizado a las ofertas de empleo no publicadas puede filtrar información interna de contratación sensible y causar confusión entre los candidatos. Este problema ha sido solucionado en la versión 1.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Horilla (CVE-2026-24037)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) gratuito y de código abierto. En la versión 1.4.0, la función has_xss() intenta bloquear XSS comparando la entrada con un conjunto de patrones de expresiones regulares. Sin embargo, las expresiones regulares son incompletas y agnósticas al contexto, lo que las hace fáciles de eludir. Los atacantes pueden redirigir a los usuarios a dominios maliciosos, ejecutar JavaScript externo y robar tokens CSRF que pueden usarse para elaborar ataques CSRF contra administradores. Este problema ha sido solucionado en la versión 1.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Horilla (CVE-2026-24034)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) de código abierto y gratuito. En versiones anteriores a la 1.5.0, se puede activar una vulnerabilidad de cross-site scripting porque la extensión y el tipo de contenido (content-type) no se verifican durante el paso de actualización de la foto de perfil. La versión 1.5.0 soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Horilla (CVE-2026-24035)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) gratuito y de código abierto. Existe una vulnerabilidad de control de acceso inadecuado en el software Horilla HR a partir de la versión 1.4.0 y anterior a la versión 1.5.0, que permite a cualquier empleado autenticado subir documentos en nombre de otro empleado sin la autorización adecuada. Esto ocurre debido a una validación insuficiente del lado del servidor del parámetro employee_id durante las operaciones de carga de archivos, lo que permite a cualquier empleado autenticado subir documentos en nombre de cualquier empleado. La versión 1.5.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Horilla (CVE-2026-24038)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) gratuito y de código abierto. En la versión 1.4.0, la lógica de manejo de OTP tiene una verificación de igualdad defectuosa que puede ser evitada. Cuando un OTP expira, el servidor devuelve None, y si un atacante omite el campo otp de su solicitud POST, el OTP proporcionado por el usuario también es None, haciendo que la comparación user_otp == otp se apruebe. Esto permite a un atacante evitar completamente la autenticación de dos factores sin proporcionar nunca un OTP válido. Si se dirigen a cuentas de administración, podría llevar al compromiso de datos sensibles de RRHH, manipulación de registros de empleados y a un abuso adicional en todo el sistema. Este problema ha sido solucionado en la versión 1.5.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2026
Suscribirse a Vulnerabilidades