Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-35633

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw before 2026.3.22 contains an unbounded memory allocation vulnerability in remote media HTTP error handling that allows attackers to trigger excessive memory consumption. Attackers can send crafted HTTP error responses with large bodies to remote media endpoints, causing the application to allocate unbounded memory before failure handling occurs.

Gravedad CVSS v4.0: MEDIA

Última modificación:

15/04/2026

CVE-2026-35632

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw through 2026.2.22 contains a symlink traversal vulnerability in agents.create and agents.update handlers that use fs.appendFile on IDENTITY.md without symlink containment checks. Attackers with workspace access can plant symlinks to append attacker-controlled content to arbitrary files, enabling remote code execution via crontab injection or unauthorized access via SSH key manipulation.

Gravedad CVSS v4.0: MEDIA

Última modificación:

15/04/2026

CVE-2026-35636

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw versions 2026.3.11 through 2026.3.24 contain a session isolation bypass vulnerability where session_status resolves sessionId to canonical session keys before enforcing visibility checks. Sandboxed child sessions can exploit this to access parent or sibling sessions that should be blocked by explicit sessionKey restrictions.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/04/2026

CVE-2026-35634

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw before 2026.3.23 contains an authentication bypass vulnerability in the Canvas gateway where authorizeCanvasRequest() unconditionally allows local-direct requests without validating bearer tokens or canvas capabilities. Attackers can send unauthenticated loopback HTTP and WebSocket requests to Canvas routes to bypass authentication and gain unauthorized access.

Gravedad CVSS v4.0: MEDIA

Última modificación:

16/04/2026

CVE-2026-35628

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw before 2026.3.25 contains a missing rate limiting vulnerability in Telegram webhook authentication that allows attackers to brute-force weak webhook secrets. The vulnerability enables repeated authentication guesses without throttling, permitting attackers to systematically guess webhook secrets through brute-force attacks.

Gravedad CVSS v4.0: MEDIA

Última modificación:

15/04/2026

CVE-2026-35631

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw before 2026.3.22 fails to enforce operator.admin scope on mutating internal ACP chat commands, allowing unauthorized modifications. Attackers without admin privileges can execute mutating control-plane actions by directly invoking affected ACP commands to bypass authorization gates.

Gravedad CVSS v4.0: ALTA

Última modificación:

15/04/2026

CVE-2026-35626

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw before 2026.3.22 contains an unauthenticated resource exhaustion vulnerability in voice call webhook handling that buffers request bodies before provider signature checks. Attackers can send large or malicious webhook requests to exhaust server resources without authentication by bypassing signature validation.

Gravedad CVSS v4.0: MEDIA

Última modificación:

15/04/2026

CVE-2026-35629

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw before 2026.3.25 contains a server-side request forgery vulnerability in multiple channel extensions that fail to properly guard configured base URLs against SSRF attacks. Attackers can exploit unprotected fetch() calls against configured endpoints to rebind requests to blocked internal destinations and access restricted resources.

Gravedad CVSS v4.0: MEDIA

Última modificación:

15/04/2026

CVE-2026-35627

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw before 2026.3.22 performs cryptographic and dispatch operations on inbound Nostr direct messages before enforcing sender and pairing policy validation. Attackers can trigger unauthorized pre-authentication computation by sending crafted DM messages, enabling denial of service through resource exhaustion.

Gravedad CVSS v4.0: MEDIA

Última modificación:

16/04/2026

CVE-2026-35625

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw before 2026.3.25 contains a privilege escalation vulnerability where silent local shared-auth reconnects auto-approve scope-upgrade requests, widening paired device permissions from operator.read to operator.admin. Attackers can exploit this by triggering local reconnection to silently escalate privileges and achieve remote code execution on the node.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/04/2026

CVE-2026-35623

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw before 2026.3.25 contains a missing rate limiting vulnerability in webhook authentication that allows attackers to brute-force weak webhook passwords without throttling. Remote attackers can repeatedly submit incorrect password guesses to the webhook endpoint to compromise authentication and gain unauthorized access.

Gravedad CVSS v4.0: MEDIA

Última modificación:

16/04/2026

CVE-2026-35624

Fecha de publicación:

09/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** OpenClaw before 2026.3.22 contains a policy confusion vulnerability in room authorization that matches colliding room names instead of stable room tokens. Attackers can exploit similarly named rooms to bypass allowlist policies and gain unauthorized access to protected Nextcloud Talk rooms.

Gravedad CVSS v4.0: BAJA

Última modificación:

17/04/2026

Suscribirse a Vulnerabilidades