Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en openclaw (CVE-2026-27488)
Fecha de publicación:
21/02/2026
Idioma:
Español
OpenClaw es un asistente personal de IA. En las versiones 2026.2.17 e inferiores, la entrega de webhooks de Cron en src/gateway/servidor-cron.ts utiliza fetch() directamente, por lo que los objetivos del webhook pueden alcanzar endpoints privados/de metadatos/internos sin comprobaciones de política de SSRF. Este problema se solucionó en la versión 2026.2.19.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en openclaw (CVE-2026-27576)
Fecha de publicación:
21/02/2026
Idioma:
Español
OpenClaw es un asistente de IA personal. En las versiones 2026.2.17 e inferiores, el puente ACP acepta bloques de texto de prompt muy grandes y puede ensamblar cargas útiles de prompt sobredimensionadas antes de reenviarlas a chat.send. Debido a que ACP se ejecuta sobre stdio local, esto afecta principalmente a los clientes ACP locales (por ejemplo, integraciones de IDE) que envían entradas inusualmente grandes. Este problema ha sido solucionado en la versión 2026.2.19.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en openclaw (CVE-2026-27484)
Fecha de publicación:
21/02/2026
Idioma:
Español
OpenClaw es un asistente personal de IA. En las versiones 2026.2.17 e inferiores, el manejo de acciones de moderación de Discord (tiempo de espera, expulsión, baneo) utiliza la identidad del remitente de los parámetros de la solicitud en flujos impulsados por herramientas, en lugar del contexto de remitente de tiempo de ejecución confiable. En configuraciones donde las acciones de moderación de Discord están habilitadas y el bot tiene los permisos de gremio necesarios, un usuario no administrador puede solicitar acciones de moderación suplantando los campos de identidad del remitente. Este problema ha sido solucionado en la versión 2026.2.18.
Gravedad CVSS v4.0: BAJA
Última modificación:
23/02/2026

Vulnerabilidad en openclaw (CVE-2026-27485)
Fecha de publicación:
21/02/2026
Idioma:
Español
OpenClaw es un asistente personal de IA. En las versiones 2026.2.17 e inferiores, skills/skill-creator/scripts/package_skill.py (un script auxiliar local utilizado cuando los autores empaquetan habilidades) seguía previamente los enlaces simbólicos (symlinks) al construir archivos .skill. Si un autor ejecuta este script en un directorio de habilidad local manipulado que contiene enlaces simbólicos a archivos fuera de la raíz de la habilidad, el archivo resultante puede incluir contenido de archivo no deseado. Si se explota, esta vulnerabilidad puede llevar a una posible divulgación no intencionada de archivos locales desde la máquina de empaquetado a un artefacto .skill generado, pero requiere la ejecución local del script de empaquetado sobre contenidos de habilidad controlados por el atacante. Este problema ha sido solucionado en la versión 2026.2.18.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en openclaw (CVE-2026-27486)
Fecha de publicación:
21/02/2026
Idioma:
Español
OpenClaw es un asistente personal de IA. En las versiones 2026.2.13 e inferiores de la CLI de OpenClaw, la limpieza de procesos utiliza la enumeración de procesos a nivel de sistema y la coincidencia de patrones para terminar procesos sin verificar si son propiedad del proceso actual de OpenClaw. En hosts compartidos, los procesos no relacionados pueden ser terminados si coinciden con el patrón. Los ayudantes de limpieza del ejecutor de la CLI pueden eliminar procesos que coinciden con patrones de línea de comandos sin validar la propiedad del proceso. Este problema ha sido solucionado en la versión 2026.2.14.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en Static Web Server (SWS) (CVE-2026-27480)
Fecha de publicación:
21/02/2026
Idioma:
Español
Servidor Web Estático (SWS) es un servidor web listo para producción, adecuado para archivos web estáticos o activos. En las versiones 2.1.0 a la 2.40.1, una vulnerabilidad de enumeración de nombres de usuario basada en tiempo en la Autenticación Básica permite a los atacantes identificar usuarios válidos explotando respuestas tempranas para nombres de usuario inválidos, lo que permite ataques de fuerza bruta dirigidos o de relleno de credenciales. SWS verifica si un nombre de usuario existe antes de verificar la contraseña, haciendo que los nombres de usuario válidos sigan una ruta de código más lenta (por ejemplo, el hash bcrypt) mientras que los nombres de usuario inválidos reciben una respuesta 401 inmediata. Esta discrepancia de tiempo permite a los atacantes enumerar cuentas válidas midiendo las diferencias en el tiempo de respuesta. Este problema ha sido solucionado en la versión 2.41.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en Ray (CVE-2026-27482)
Fecha de publicación:
21/02/2026
Idioma:
Español
Ray es un motor de cómputo de IA. En las versiones 2.53.0 e inferiores, el servidor HTTP del panel de control bloquea POST/PUT de origen de navegador pero no cubre DELETE, y los endpoints DELETE clave no están autenticados por defecto. Si el panel de control/agente es accesible (p. ej., --dashboard-host=0.0.0.0), una página web a través de la reconfiguración de DNS o el acceso a la misma red puede emitir solicitudes DELETE que apagan Serve o eliminan trabajos sin interacción del usuario. Esto supone un impacto en la disponibilidad de tipo drive-by. La solución para esta vulnerabilidad es actualizar a Ray 2.54.0 o superior.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en wedevs (CVE-2025-14339)
Fecha de publicación:
21/02/2026
Idioma:
Español
El plugin weMail - Email Marketing, Generación de Leads, Formularios de Suscripción, Boletines por Correo Electrónico, Pruebas A/B y Automatización para WordPress es vulnerable a la eliminación no autorizada de formularios en todas las versiones hasta la 2.0.7, inclusive. Esto se debe a que la función de callback 'Forms::permission()' solo valida el encabezado 'X-WP-Nonce' sin verificar las capacidades del usuario. Dado que el nonce REST se expone a visitantes no autenticados a través del objeto JavaScript 'weMail' en páginas con formularios de weMail, cualquier usuario no autenticado puede eliminar permanentemente todos los formularios de weMail extrayendo el nonce del código fuente de la página y enviando una solicitud DELETE al endpoint de formularios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en Wallos (CVE-2026-27479)
Fecha de publicación:
21/02/2026
Idioma:
Español
Wallos es un rastreador de suscripciones personal de código abierto y autoalojable. Versiones 4.6.0 e inferiores contienen una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en la funcionalidad de carga de logotipos/iconos de suscripción y pago. La aplicación valida la dirección IP de la URL proporcionada antes de realizar la petición, pero permite redirecciones HTTP (CURLOPT_FOLLOWLOCATION = true), lo que permite a un atacante eludir la validación de IP y acceder a recursos internos, incluyendo puntos finales de metadatos de instancias en la nube. La función getLogoFromUrl() valida la URL resolviendo el nombre de host y comprobando si la dirección IP resultante está en un rango privado o reservado usando FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE. Sin embargo, la petición cURL subsiguiente está configurada con CURLOPT_FOLLOWLOCATION = true y CURLOPT_MAXREDIRS = 3, lo que significa que la petición seguirá las redirecciones HTTP sin revalidar la dirección IP de destino. Este problema ha sido solucionado en la versión 4.6.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en ZoneMinder (CVE-2026-27470)
Fecha de publicación:
21/02/2026
Idioma:
Español
ZoneMinder es una aplicación de software de televisión de circuito cerrado gratuita y de código abierto. En las versiones 1.36.37 e inferiores y de la 1.37.61 hasta la 1.38.0, existe una vulnerabilidad de inyección SQL de segundo orden en el archivo web/ajax/status.php dentro de la función getNearEvents(). Los valores de los campos de evento (específicamente Nombre y Causa) se almacenan de forma segura mediante consultas parametrizadas, pero luego se recuperan y se concatenan directamente en las cláusulas SQL WHERE sin escapar. Un usuario autenticado con permisos de edición y visualización de Eventos puede explotar esto para ejecutar consultas SQL arbitrarias.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en PictureServiceImpl.java (CVE-2026-2864)
Fecha de publicación:
21/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en feng_ha_ha/megagao ssm-erp y production_ssm hasta 4288d53bd35757b27f2d070057aefb2c07bdd097. Esto afecta a la función pictureDelete del archivo PictureController.java. Dicha manipulación del argumento picName conduce a salto de ruta. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser utilizado. Este producto no utiliza versionado. Por esta razón, la información sobre las versiones afectadas y no afectadas no está disponible. Este producto se distribuye bajo dos nombres completamente diferentes. El proyecto fue informado del problema tempranamente a través de un informe de incidencias pero aún no ha respondido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en itsourcecode Agri-Trading Online Shopping System (CVE-2026-2865)
Fecha de publicación:
21/02/2026
Idioma:
Español
Se encontró una vulnerabilidad en itsourcecode Agri-Trading Online Shopping System 1.0. Esto afecta a una función desconocida del archivo admin/productcontroller.php del componente Gestor de Solicitudes HTTP POST. Manipular el argumento Product resulta en inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y podría usarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026
Suscribirse a Vulnerabilidades