Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-26996
Fecha de publicación:
20/02/2026
Idioma:
Español
minimatch es una utilidad de coincidencia mínima para convertir expresiones glob en objetos RegExp de JavaScript. Las versiones 10.2.0 e inferiores son vulnerables a la denegación de servicio por expresión regular (ReDoS) cuando un patrón glob contiene muchos comodines * consecutivos seguidos de un carácter literal que no aparece en la cadena de prueba. Cada * se compila en un grupo de regex [^/]*? separado, y cuando la coincidencia falla, el motor de regex de V8 retrocede exponencialmente a través de todas las posibles divisiones. La complejidad temporal es O(4^N) donde N es el número de caracteres *. Con N=15, una sola llamada a minimatch() tarda ~2 segundos. Con N=34, se cuelga efectivamente para siempre. Cualquier aplicación que pase cadenas controladas por el usuario a minimatch() como argumento de patrón es vulnerable a DoS. Este problema ha sido solucionado en la versión 10.2.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

CVE-2026-27017
Fecha de publicación:
20/02/2026
Idioma:
Español
uTLS es un 'fork' de crypto/tls, creado para personalizar ClientHello para que resista la identificación de huellas digitales mientras se sigue utilizando para el protocolo de enlace. Las versiones 1.6.0 a 1.8.0 contienen una falta de coincidencia de huella digital con Chrome cuando se usa GREASE ECH, relacionada con la selección de la suite de cifrado. Cuando Chrome selecciona la suite de cifrado preferida en el ClientHello externo y para ECH, lo hace de forma consistente basándose en el soporte de hardware; por ejemplo, si prefiere AES para la suite de cifrado externa, también usa AES para ECH. Sin embargo, el 'loro' de Chrome en uTLS codifica de forma rígida la preferencia de AES para las suites de cifrado externas, pero selecciona la suite de cifrado ECH aleatoriamente entre AES y ChaCha20. Esto hace que haya un 50% de probabilidad de que se seleccione ChaCha20 para ECH mientras se usa AES para la suite de cifrado externa, una combinación imposible en Chrome. Este problema solo afecta a GREASE ECH; en ECH real, Chrome selecciona la primera suite de cifrado válida cuando se prefiere AES, lo cual uTLS maneja correctamente. Este problema ha sido solucionado en la versión 1.8.1.
Gravedad CVSS v4.0: BAJA
Última modificación:
20/02/2026

CVE-2026-2384
Fecha de publicación:
20/02/2026
Idioma:
Español
El plugin Quiz Maker para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode &amp;#39;vc_quizmaker&amp;#39; del plugin en todas las versiones hasta la 6.7.1.7, inclusive, debido a una sanitización de entrada y escape de salida insuficientes en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.<br /> Nota: Esta vulnerabilidad requiere que WPBakery Page Builder esté instalado y activo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

CVE-2026-26992
Fecha de publicación:
20/02/2026
Idioma:
Español
LibreNMS es una herramienta de monitorización de red basada en PHP/MySQL/SNMP con descubrimiento automático. En las versiones 26.1.1 e inferiores, el nombre del grupo de puertos no se sanea, lo que permite a atacantes con privilegios de administrador realizar ataques de Stored Cross-Site Scripting (XSS). Cuando un usuario añade un grupo de puertos, se envía una solicitud HTTP POST a la Request-URI &amp;#39;/port-groups&amp;#39;. El nombre del grupo de puertos recién creado se almacena en el valor del parámetro name. Después de que se cree el grupo de puertos, la entrada se muestra junto con botones relevantes como Editar y Eliminar. Este problema se ha solucionado en la versión 26.2.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-26991
Fecha de publicación:
20/02/2026
Idioma:
Español
LibreNMS es una herramienta de monitorización de red basada en PHP/MySQL/SNMP con descubrimiento automático. En las versiones 26.1.1 y anteriores, el nombre del grupo de dispositivos no está saneado, permitiendo a atacantes con privilegios de administrador realizar ataques de Cross-Site Scripting (XSS) almacenado. Cuando un usuario añade un grupo de dispositivos, se envía una solicitud HTTP POST a la Request-URI &amp;#39;/device-groups&amp;#39;. El nombre del grupo de dispositivos recién creado se almacena en el valor del parámetro name. Después de que se cree el grupo de dispositivos, la entrada se muestra junto con botones relevantes como Rediscover Devices, Edit y Delete. Este problema ha sido solucionado en la versión 26.2.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-27016
Fecha de publicación:
20/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** LibreNMS is an auto-discovering PHP/MySQL/SNMP based network monitoring tool. Versions 24.10.0 through 26.1.1 are vulnerable to Stored XSS via the unit parameter in Custom OID. The Custom OID functionality lacks strip_tags() sanitization while other fields (name, oid, datatype) are sanitized. The unsanitized value is stored in the database and rendered without HTML escaping. This issue is fixed in version 26.2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

CVE-2026-2819
Fecha de publicación:
20/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Dromara RuoYi-Vue-Plus hasta 5.5.3. Esta vulnerabilidad afecta la función SaServletFilter del archivo /workflow/instance/deleteByInstanceIds del componente Módulo de Flujo de Trabajo. Si se manipula se logra una falta de autorización. El ataque puede ser iniciado en remoto. El exploit está disponible públicamente y podría ser utilizado. Se avisó pronto al proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-2820
Fecha de publicación:
20/02/2026
Idioma:
Español
Se ha descubierto un fallo de seguridad en el sistema Fujian Smart Integrated Management Platform System hasta la versión 7.5. Este problema afecta a un procesamiento desconocido del archivo /Module/CRXT/Controller/XAccessPermissionPlus.ashx. Manipular el argumento DeviceIDS provoca una inyección SQL. El ataque puede ser lanzado de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-26977
Fecha de publicación:
20/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Frappe Learning Management System (LMS) is a learning system that helps users structure their content. In versions 2.44.0 and below, unauthorized users are able to access the details of unpublished courses via API endpoints. A fix for this issue is planned for the 2.45.0 release.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-26980
Fecha de publicación:
20/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Ghost is a Node.js content management system. Versions 3.24.0 through 6.19.0 allow unauthenticated attackers to perform arbitrary reads from the database. This issue has been fixed in version 6.19.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/02/2026

CVE-2026-26987
Fecha de publicación:
20/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** LibreNMS is an auto-discovering PHP/MySQL/SNMP based network monitoring tool. Versions 25.12.0 and below are vulnerable to Reflected XSS attacks via email field. This issue has been fixed in version 26.2.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2026-26988
Fecha de publicación:
20/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** LibreNMS is an auto-discovering PHP/MySQL/SNMP based network monitoring tool. Versions 25.12.0 and below contain an SQL Injection vulnerability in the ajax_table.php endpoint. The application fails to properly sanitize or parameterize user input when processing IPv6 address searches. Specifically, the address parameter is split into an address and a prefix, and the prefix portion is directly concatenated into the SQL query string without validation. This allows an attacker to inject arbitrary SQL commands, potentially leading to unauthorized data access or database manipulation. This issue has been fixed in version 26.2.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/02/2026
Suscribirse a Vulnerabilidades