Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Fleet (CVE-2026-23517)
Fecha de publicación:
21/01/2026
Idioma:
Español
Fleet es un software de gestión de dispositivos de código abierto. Un problema de control de acceso roto en versiones anteriores a 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3 permitía a los usuarios autenticados acceder a los puntos finales de depuración y perfilado independientemente del rol. Como resultado, los usuarios con privilegios bajos podían ver diagnósticos internos del servidor y activar operaciones de perfilado que consumen muchos recursos. Los puntos finales debug/pprof de Fleet son accesibles para cualquier usuario autenticado independientemente del rol, incluido el rol 'Observer' con los privilegios más bajos. Esto permite a los usuarios con privilegios bajos acceder a elementos internos sensibles del servidor, incluidos datos de perfilado en tiempo de ejecución y el estado de la aplicación en memoria, y activar operaciones de perfilado intensivas en CPU que podrían llevar a una denegación de servicio. Las versiones 4.78.3, 4.77.1, 4.76.2, 4.75.2 y 4.53.3 solucionan el problema. Si una actualización inmediata no es posible, los usuarios deberían colocar los puntos finales debug/pprof detrás de una lista blanca de IP como solución alternativa.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en vllm de vllm-project (CVE-2026-22807)
Fecha de publicación:
21/01/2026
Idioma:
Español
vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). A partir de la versión 0.10.1 y antes de la versión 0.14.0, vLLM carga módulos dinámicos 'auto_map' de Hugging Face durante la resolución del modelo sin depender de 'trust_remote_code', permitiendo que código Python controlado por el atacante en un repositorio/ruta de modelo se ejecute al inicio del servidor. Un atacante que pueda influir en el repositorio/ruta del modelo (directorio local o repositorio remoto de Hugging Face) puede lograr la ejecución de código arbitrario en el host de vLLM durante la carga del modelo. Esto ocurre antes de cualquier manejo de solicitudes y no requiere acceso a la API. La versión 0.14.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2026

Vulnerabilidad en fleet de fleetdm (CVE-2026-22808)
Fecha de publicación:
21/01/2026
Idioma:
Español
fleetdm/fleet es software de gestión de dispositivos de código abierto. Antes de las versiones 4.78.2, 4.77.1, 4.76.2, 4.75.2 y 4.53.3, si Windows MDM está habilitado, un atacante no autenticado puede explotar esta vulnerabilidad XSS para robar el token de autenticación de un administrador de Fleet (FLEET::auth_token) de localStorage. Esto podría permitir el acceso no autorizado a Fleet, incluyendo acceso administrativo, visibilidad de los datos del dispositivo y modificación de la configuración. Las versiones 4.78.2, 4.77.1, 4.76.2, 4.75.2 y 4.53.3 solucionan el problema. Si una actualización inmediata no es posible, los usuarios de Fleet afectados deberían deshabilitar temporalmente Windows MDM.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/02/2026

Vulnerabilidad en external-secrets (CVE-2026-22822)
Fecha de publicación:
21/01/2026
Idioma:
Español
External Secrets Operator lee información de un servicio de terceros e inyecta automáticamente los valores como Secrets de Kubernetes. A partir de la versión 0.20.2 y antes de la versión 1.2.0, la función de plantilla 'getSecretKey', aunque introducida para el proveedor senhasegura Devops Secrets Management (DSM), tiene la capacidad de obtener secretos entre espacios de nombres con el roleBinding del controlador external-secrets, eludiendo nuestros mecanismos de seguridad. Esta función fue completamente eliminada en la versión 1.2.0, ya que todo lo que se hacía con esa función de plantilla se puede hacer de una manera diferente respetando las salvaguardas de External Secrets Operator. Como solución alternativa, utilice un motor de políticas como Kubernetes, Kyverno, Kubewarden u OPA para evitar el uso de 'getSecretKey' en cualquier recurso ExternalSecret.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
18/02/2026

Vulnerabilidad en saleor (CVE-2026-22849)
Fecha de publicación:
21/01/2026
Idioma:
Español
Saleor es una plataforma de comercio electrónico. A partir de la versión 3.0.0 y antes de las versiones 3.20.108, 3.21.43 y 3.22.27, Saleor permitía a los usuarios modificar campos de texto enriquecido con HTML sin ejecutar ningún limpiador HTML de backend, lo que permitía a actores maliciosos realizar ataques de XSS almacenado en paneles de control y escaparates. Miembros del personal maliciosos podían crear inyecciones de scripts para atacar a otros miembros del personal, posiblemente robando sus tokens de acceso y/o de actualización. Este problema ha sido parcheado en las versiones 3.22.27, 3.21.43 y 3.20.108. En caso de no poder actualizar de inmediato, una posible solución alternativa es usar un limpiador del lado del cliente.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en 5ire de nanbingxyz (CVE-2026-22793)
Fecha de publicación:
21/01/2026
Idioma:
Español
5ire es un asistente de escritorio multiplataforma de inteligencia artificial y cliente de protocolo de contexto de modelo. Antes de la versión 0.15.3, una vulnerabilidad de análisis de opciones insegura en el plugin de Markdown de ECharts permite a cualquier usuario capaz de enviar bloques de código de ECharts ejecutar código JavaScript arbitrario en el contexto del renderizador. Esto puede llevar a Ejecución Remota de Código (RCE) en entornos donde las API privilegiadas (como electron.mcp de Electron) están expuestas, lo que resulta en un compromiso total del sistema anfitrión. La versión 0.15.3 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2026

Vulnerabilidad en 5ire de nanbingxyz (CVE-2026-22792)
Fecha de publicación:
21/01/2026
Idioma:
Español
5ire es un asistente de inteligencia artificial de escritorio multiplataforma y cliente de protocolo de contexto de modelo. Antes de la versión 0.15.3, una renderización HTML insegura permite que HTML no confiable (incluidos los atributos de evento on*) se ejecute en el contexto del renderizador. Un atacante puede inyectar una carga útil `` para ejecutar JavaScript arbitrario en el renderizador, lo que puede llamar a las API de puente expuestas como `window.bridge.mcpServersManager.createServer`. Esto permite la creación no autorizada de servidores MCP y conduce a la ejecución remota de comandos. La versión 0.15.3 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2026

Vulnerabilidad en ManageIQ (CVE-2026-22598)
Fecha de publicación:
21/01/2026
Idioma:
Español
ManageIQ es una plataforma de gestión de código abierto. Se encontró una falla en la API de ManageIQ anterior a la versión radjabov-2 donde se podía crear un TimeProfile malformado, lo que provocaba que las solicitudes posteriores de la interfaz de usuario (UI) y la API agotaran el tiempo de espera, lo que llevaba a una denegación de servicio. La versión radjabov-2 contiene un parche. También se puede aplicar el parche manualmente.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en claude-code de anthropics (CVE-2026-21852)
Fecha de publicación:
21/01/2026
Idioma:
Español
Claude Code es una herramienta de codificación agéntica. Antes de la versión 2.0.65, una vulnerabilidad en el flujo de carga de proyectos de Claude Code permitía a repositorios maliciosos exfiltrar datos, incluyendo claves API de Anthropic, antes de que los usuarios confirmaran la confianza. Un repositorio controlado por un atacante podría incluir un archivo de configuración que estableciera ANTHROPIC_BASE_URL a un punto final controlado por un atacante y, cuando se abría el repositorio, Claude Code leería la configuración e inmediatamente emitiría solicitudes API antes de mostrar la solicitud de confianza, filtrando potencialmente las claves API del usuario. Los usuarios con la actualización automática estándar de Claude Code ya han recibido esta corrección. Se aconseja a los usuarios que realizan actualizaciones manuales que actualicen a la versión 2.0.65, que contiene un parche, o a la última versión.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/02/2026

Vulnerabilidad en SQLBot de dataease (CVE-2025-69285)
Fecha de publicación:
21/01/2026
Idioma:
Español
SQLBot es un sistema inteligente de consulta de datos basado en un modelo de lenguaje grande y RAG. Las versiones anteriores a la 1.5.0 contienen una vulnerabilidad de autenticación faltante en el endpoint /api/v1/datasource/uploadExcel, permitiendo a un atacante remoto no autenticado subir archivos Excel/CSV arbitrarios e inyectar datos directamente en la base de datos PostgreSQL. El endpoint se añade explícitamente a la lista blanca de autenticación, haciendo que el TokenMiddleware omita toda la validación de tokens. Los archivos subidos son analizados por pandas e insertados en la base de datos a través de to_sql() con el modo if_exists='replace'. La vulnerabilidad ha sido corregida en la v1.5.0. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en everest-core de EVerest (CVE-2026-23955)
Fecha de publicación:
21/01/2026
Idioma:
Español
EVerest es una pila de software de carga de VE. Antes de la versión 2025.9.0, en varios lugares, los valores enteros se concatenan a cadenas literales al lanzar errores. Esto resulta en aritmética de punteros en lugar de imprimir el valor entero como se espera, como la mayoría de los lenguajes interpretados. Esto puede ser utilizado por un operador malicioso para leer regiones de memoria no intencionadas, incluyendo el montón y la pila. La versión 2025.9.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2026

Vulnerabilidad en ArduinoCore-avr de arduino (CVE-2025-69209)
Fecha de publicación:
21/01/2026
Idioma:
Español
ArduinoCore-avr contiene el código fuente y los archivos de configuración de la plataforma Arduino AVR Boards. Una vulnerabilidad en versiones anteriores a la 1.8.7 permite a un atacante activar un desbordamiento de búfer basado en pila al convertir valores de punto flotante a cadenas con alta precisión. Al pasar valores `decimalPlaces` muy grandes a los constructores de String o métodos concat afectados, la función `dtostrf` escribe más allá de los búferes de pila de tamaño fijo, causando corrupción de memoria y denegación de servicio. Bajo condiciones específicas, esto podría permitir la ejecución de código arbitrario en placas Arduino basadas en AVR.<br /> <br /> ### Parches<br /> <br /> - La solución está incluida a partir de la versión `1.8.7` disponible en el siguiente enlace [ArduinoCore-avr v1.8.7](https://github.com/arduino/ArduinoCore-avr)<br /> <br /> - El commit de la solución está disponible en el siguiente enlace [1a6a417f89c8901dad646efce74ae9d3ddebfd59](https://github.com/arduino/ArduinoCore-avr/pull/613/commits/1a6a417f89c8901dad646efce74ae9d3ddebfd59)<br /> <br /> ### Referencias<br /> <br /> - [ASEC-26-001 ArduinoCore-avr vXXXX Resuelve la vulnerabilidad de desbordamiento de búfer](https://support.arduino.cc/hc/en-us/articles/XXXXX)<br /> <br /> ### Créditos<br /> <br /> - Maxime Rossi Bellom y Ramtine Tofighi Shirazi de SecMate (https://secmate.dev/)
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades