Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-35648
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.3.22 contains a policy bypass vulnerability where queued node actions are not revalidated against current command policy when delivered. Attackers can exploit stale allowlists or declarations that survive policy tightening to execute unauthorized commands.
Gravedad CVSS v4.0: BAJA
Última modificación:
13/04/2026

CVE-2026-35649
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.3.22 contains a settings reconciliation vulnerability that allows attackers to bypass intended deny-all revocations by exploiting empty allowlist handling. The vulnerability treats explicit empty allowlists as unset during reconciliation, silently undoing intended access control denials and restoring previously revoked permissions.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/04/2026

CVE-2026-35650
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.3.22 contains an environment variable override handling vulnerability that allows attackers to bypass the shared host environment policy through inconsistent sanitization paths. Attackers can supply blocked or malformed override keys that slip through inconsistent validation to execute arbitrary code with unintended environment variables.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/04/2026

CVE-2026-35651
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw versions 2026.2.13 through 2026.3.24 contain an ANSI escape sequence injection vulnerability in approval prompts that allows attackers to spoof terminal output. Untrusted tool metadata can carry ANSI control sequences into approval prompts and permission logs, enabling attackers to manipulate displayed information through malicious tool titles.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/04/2026

CVE-2026-35652
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.3.22 contains an authorization bypass vulnerability in interactive callback dispatch that allows non-allowlisted senders to execute action handlers. Attackers can bypass sender authorization checks by dispatching callbacks before normal security validation completes, enabling unauthorized actions.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/04/2026

CVE-2026-35641
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.3.24 contains an arbitrary code execution vulnerability in local plugin and hook installation that allows attackers to execute malicious code by crafting a .npmrc file with a git executable override. During npm install execution in the staged package directory, attackers can leverage git dependencies to trigger execution of arbitrary programs specified in the attacker-controlled .npmrc configuration file.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/04/2026

CVE-2026-35643
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.3.22 contains an unvalidated WebView JavascriptInterface vulnerability allowing attackers to inject arbitrary instructions. Untrusted pages can invoke the canvas bridge to execute malicious code within the Android application context.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/04/2026

CVE-2026-35621
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.3.24 contains a privilege escalation vulnerability where the /allowlist command fails to re-validate gateway client scopes for internal callers, allowing operator.write-scoped clients to mutate channel authorization policy. Attackers can exploit chat.send to build an internal command-authorized context and persist channel allowFrom and groupAllowFrom policy changes reserved for operator.admin scope.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/04/2026

CVE-2026-35620
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.3.24 contains missing authorization vulnerabilities in the /send and /allowlist chat command handlers. The /send command allows non-owner command-authorized senders to change owner-only session delivery policy settings, and the /allowlist mutating commands fail to enforce operator.admin scope. Attackers with operator.write scope can invoke /send on|off|inherit to persistently mutate the current session's sendPolicy, and execute /allowlist add commands to modify config-backed allowFrom entries and pairing-store allowlist entries without proper admin authorization.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/04/2026

CVE-2026-35619
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** OpenClaw before 2026.3.24 contains an authorization bypass vulnerability in the HTTP /v1/models endpoint that fails to enforce operator read scope requirements. Attackers with only operator.approvals scope can enumerate gateway model metadata through the HTTP compatibility route, bypassing the stricter WebSocket RPC authorization checks.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/04/2026

CVE-2026-35602
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the Vikunja file import endpoint uses the attacker-controlled Size field from the JSON metadata inside the import zip instead of the actual decompressed file content length for the file size enforcement check. By setting Size to 0 in the JSON while including large compressed file entries in the zip, an attacker bypasses the configured maximum file size limit. This vulnerability is fixed in 2.3.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2026

CVE-2026-35601
Fecha de publicación:
10/04/2026
Idioma:
Inglés
*** Pendiente de traducción *** Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the CalDAV output generator builds iCalendar VTODO entries via raw string concatenation without applying RFC 5545 TEXT value escaping. User-controlled task titles containing CRLF characters break the iCalendar property boundary, allowing injection of arbitrary iCalendar properties such as ATTACH, VALARM, or ORGANIZER. This vulnerability is fixed in 2.3.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2026
Suscribirse a Vulnerabilidades