Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Claude Code (CVE-2026-25725)
Fecha de publicación:
06/02/2026
Idioma:
Español
Claude Code es una herramienta de codificación agéntica. Antes de la versión 2.1.2, el mecanismo de sandboxing bubblewrap de Claude Code no protegió adecuadamente el archivo de configuración .claude/settings.json cuando no existía al inicio. Si bien el directorio padre estaba montado como escribible y .claude/settings.local.json estaba explícitamente protegido con restricciones de solo lectura, settings.json no estaba protegido si faltaba. Esto permitía que código malicioso ejecutándose dentro del sandbox creara este archivo e inyectara hooks persistentes (como comandos SessionStart) que se ejecutarían con privilegios de host cuando se reiniciara Claude Code. Este problema ha sido parcheado en la versión 2.1.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en Claude Code (CVE-2026-25724)
Fecha de publicación:
06/02/2026
Idioma:
Español
Claude Code es una herramienta de codificación agéntica. Antes de la versión 2.1.7, Claude Code no aplicaba estrictamente las reglas de denegación configuradas en settings.json al acceder a archivos a través de enlaces simbólicos. Si un usuario denegaba explícitamente a Claude Code el acceso a un archivo (como /etc /passwd) y Claude Code tenía acceso a un enlace simbólico que apuntaba a ese archivo, era posible que Claude Code leyera el archivo restringido a través del enlace simbólico sin activar la aplicación de la regla de denegación. Este problema ha sido parcheado en la versión 2.1.7.
Gravedad CVSS v4.0: BAJA
Última modificación:
09/02/2026

Vulnerabilidad en Claude Code (CVE-2026-25722)
Fecha de publicación:
06/02/2026
Idioma:
Español
Claude Code es una herramienta de codificación agéntica. Antes de la versión 2.0.57, Claude Code no validaba correctamente los cambios de directorio cuando se combinaba con operaciones de escritura en carpetas protegidas. Al usar el comando cd para navegar a directorios sensibles como .claude, era posible eludir la protección contra escritura y crear o modificar archivos sin confirmación del usuario. La explotación fiable de esto requería la capacidad de añadir contenido no confiable en una ventana de contexto de Claude Code. Este problema ha sido parcheado en la versión 2.0.57.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en Claude Code (CVE-2026-25723)
Fecha de publicación:
06/02/2026
Idioma:
Español
Claude Code es una herramienta de codificación agéntica. Antes de la versión 2.0.55, Claude Code no validaba correctamente los comandos que utilizaban operaciones sed canalizadas con el comando echo, permitiendo a los atacantes eludir las restricciones de escritura de archivos. Esta vulnerabilidad permitía la escritura en directorios sensibles como la carpeta .claude y rutas fuera del alcance del proyecto. La explotación de esto requería la capacidad de ejecutar comandos a través de Claude Code con la función 'aceptar ediciones' habilitada. Este problema ha sido parcheado en la versión 2.0.55.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en OpenProject (CVE-2026-24776)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Antes de la 17.0.2, el manejador de arrastrar y soltar que movía un elemento de la agenda a una sección diferente no verificaba correctamente si la sección de reunión de destino formaba parte de la misma reunión (o si era el backlog, en el caso de reuniones recurrentes). Esto permitía a un atacante mover un elemento de la agenda de una reunión a una reunión diferente. El atacante no obtenía acceso a las reuniones, pero podía añadir elementos de la agenda arbitrarios, lo que podría causar confusiones. La vulnerabilidad está corregida en la versión 17.0.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en OpenFGA (CVE-2026-24851)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenFGA es un motor de autorización/permisos de alto rendimiento y flexible, construido para desarrolladores e inspirado en Google Zanzibar. OpenFGA v1.8.5 a v1.11.2 (openfga-0.2.22<= Helm chart <= openfga-0.2.51, v.1.8.5 <= docker <= v.1.11.2) son vulnerables a una aplicación de políticas incorrecta cuando se ejecutan ciertas llamadas Check. La vulnerabilidad requiere un modelo que tenga una relación directamente asignable por un acceso público ligado a tipo y asignable por un acceso no público ligado a tipo, una tupla asignada para la relación que es un acceso público ligado a tipo, una tupla asignada para el mismo objeto con la misma relación que no es un acceso público ligado a tipo, y una tupla asignada para un objeto diferente que tiene un ID de objeto lexicográficamente mayor con el mismo usuario y relación que no es un acceso público ligado a tipo. Esta vulnerabilidad está corregida en la v1.11.3.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en OrcaStatLLM Researcher (CVE-2026-24903)
Fecha de publicación:
06/02/2026
Idioma:
Español
OrcaStatLLM Researcher es un generador de artículos de investigación basado en LLM. Se descubrió una vulnerabilidad de cross-site scripting (XSS) almacenado en el mensaje de registro en la página de sesión de OrcaStatLLM-Researcher que permite a los atacantes inyectar y ejecutar código JavaScript arbitrario en los navegadores de las víctimas a través de entradas maliciosas de temas de investigación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en OpenSTAManager (CVE-2026-24419)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. OpenSTAManager v2.9.8 y versiones anteriores contienen una vulnerabilidad crítica de inyección SQL basada en errores en el archivo add.PHP del módulo Prima Nota (Asiento de Diario). La aplicación no valida que los valores separados por comas del parámetro GET id_documenti sean enteros antes de usarlos en cláusulas SQL IN(), lo que permite a los atacantes inyectar comandos SQL arbitrarios y extraer datos sensibles a través de mensajes de error XPATH.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en Gogs (CVE-2026-24135)
Fecha de publicación:
06/02/2026
Idioma:
Español
Gogs es un servicio Git de código abierto autoalojado. En la versión 0.13.3 y anteriores, existe una vulnerabilidad de salto de ruta en la función updateWikiPage de Gogs. La vulnerabilidad permite a un usuario autenticado con acceso de escritura a la wiki de un repositorio eliminar archivos arbitrarios en el servidor manipulando el parámetro old_title en el formulario de edición de la wiki. Este problema ha sido parcheado en las versiones 0.13.4 y 0.14.0+dev.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/02/2026

Vulnerabilidad en Xerox® CentreWare Web® (CVE-2026-1769)
Fecha de publicación:
06/02/2026
Idioma:
Español
Neutralización Incorrecta de Entrada Durante la Generación de Páginas Web (XSS o &amp;#39;cross-site scripting&amp;#39;) vulnerabilidad en Xerox CentreWare en Windows permite XSS Almacenado. Este problema afecta a CentreWare: hasta la 7.0.6.<br /> <br /> Considere actualizar Xerox® CentreWare Web® a la v7.2.2.25 a través del software disponible en Xerox.com
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en Gogs (CVE-2026-22592)
Fecha de publicación:
06/02/2026
Idioma:
Español
Gogs es un servicio Git autoalojado de código abierto. En la versión 0.13.3 y anteriores, un usuario autenticado puede causar un ataque DoS. Si uno de los archivos del repositorio se elimina antes de la sincronización, hará que la aplicación falle. Este problema ha sido parcheado en las versiones 0.13.4 y 0.14.0+dev.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2026

Vulnerabilidad en Gogs (CVE-2026-23632)
Fecha de publicación:
06/02/2026
Idioma:
Español
Gogs es un servicio Git autoalojado de código abierto. En la versión 0.13.3 y anteriores, el endpoint &amp;#39;PUT /repos/:owner/:repo/contents/*&amp;#39; no requiere permisos de escritura y permite el acceso solo con permiso de lectura a través de repoAssignment(). Después de pasar la verificación de permisos, PutContents() invoca a UpdateRepoFile(), lo que resulta en la creación de un commit y la ejecución de git push. Como resultado, un token con permiso de solo lectura puede ser utilizado para modificar el contenido del repositorio. Este problema ha sido parcheado en las versiones 0.13.4 y 0.14.0+dev.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2026
Suscribirse a Vulnerabilidades