Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PX4-Autopilot de PX4 (CVE-2026-32708)
Fecha de publicación:
16/03/2026
Idioma:
Español
El piloto automático PX4 es una solución de control de vuelo para drones. Antes de la versión 1.17.0-rc2, el suscriptor Zenoh uORB asigna una VLA de pila directamente de la longitud de la carga útil entrante sin límites. Un publicador Zenoh remoto puede enviar un mensaje fragmentado de tamaño excesivo para forzar una asignación y copia de pila sin límites, causando un desbordamiento de pila y el bloqueo de la tarea del puente Zenoh. Esta vulnerabilidad se corrige en la versión 1.17.0-rc2.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en anything-llm de Mintplex-Labs (CVE-2026-32626)
Fecha de publicación:
16/03/2026
Idioma:
Español
AnythingLLM es una aplicación que convierte fragmentos de contenido en contexto que cualquier LLM puede usar como referencias durante el chat. En la versión 1.11.1 y anteriores, AnythingLLM Desktop contiene una vulnerabilidad XSS de fase de streaming en la canalización de renderizado del chat que escala a ejecución remota de código en el sistema operativo anfitrión debido a una configuración insegura de Electron. Esto funciona con la configuración predeterminada y no requiere interacción del usuario más allá del uso normal del chat. El renderizador de imágenes personalizado de markdown-it en frontend/src/utils/chat/markdown.js interpola token.content directamente en el atributo alt sin escape de entidades HTML. El componente PromptReply renderiza esta salida a través de dangerouslySetInnerHTML sin la sanitización de DOMPurify, a diferencia de HistoricalMessage, que aplica correctamente DOMPurify.sanitize().
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/03/2026

Vulnerabilidad en cpp-httplib de yhirose (CVE-2026-32627)
Fecha de publicación:
16/03/2026
Idioma:
Español
cpp-httplib es una biblioteca HTTP/HTTPS multiplataforma de C++11 de un solo archivo de cabecera. Antes de 0.37.2, cuando un cliente cpp-httplib está configurado con un proxy y set_follow_location(true), cualquier redirección HTTPS que siga tendrá la verificación de certificado TLS y de nombre de host silenciosamente deshabilitada en la nueva conexión. El cliente aceptará cualquier certificado presentado por el objetivo de redirección — caducado, autofirmado o falsificado — sin generar un error o notificar a la aplicación. Un atacante de red en posición de devolver una respuesta de redirección puede interceptar completamente la conexión HTTPS de seguimiento, incluyendo cualquier credencial o tokens de sesión en tránsito. Esta vulnerabilidad está corregida en 0.37.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en anything-llm de Mintplex-Labs (CVE-2026-32628)
Fecha de publicación:
16/03/2026
Idioma:
Español
AnythingLLM es una aplicación que convierte piezas de contenido en contexto que cualquier LLM puede usar como referencias durante el chat. En 1.11.1 y anteriores, una vulnerabilidad de inyección SQL en el plugin SQL Agent integrado permite a cualquier usuario que pueda invocar el agente ejecutar comandos SQL arbitrarios en las bases de datos conectadas. El método getTableSchemaSql() en los tres conectores de base de datos (MySQL, PostgreSQL, MSSQL) construye consultas SQL utilizando la concatenación directa de cadenas del parámetro table_name sin saneamiento ni parametrización.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en file-type de sindresorhus (CVE-2026-32630)
Fecha de publicación:
16/03/2026
Idioma:
Español
file-type detecta el tipo de archivo de un archivo, flujo o datos. Desde 20.0.0 hasta 21.3.1, un archivo ZIP manipulado puede provocar un crecimiento excesivo de la memoria durante la detección de tipo en file-type al usar fileTypeFromBuffer(), fileTypeFromBlob() o fileTypeFromFile(). El límite de salida de descompresión ZIP se aplica para la detección basada en flujo, pero no para entradas de tamaño conocido. Como resultado, un ZIP comprimido pequeño puede hacer que file-type descomprima y procese una carga útil mucho mayor mientras sondea formatos basados en ZIP como OOXML. Esta vulnerabilidad está corregida en 21.3.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Angular (CVE-2026-32635)
Fecha de publicación:
16/03/2026
Idioma:
Español
Angular es una plataforma de desarrollo para construir aplicaciones web móviles y de escritorio usando TypeScript/JavaScript y otros lenguajes. Antes de las versiones 22.0.0-next.3, 21.2.4, 20.3.18 y 19.2.20, se ha identificado una vulnerabilidad de cross-site scripting (XSS) en el tiempo de ejecución y el compilador de Angular. Ocurre cuando la aplicación utiliza un atributo sensible a la seguridad (por ejemplo, href en una etiqueta de anclaje) junto con la capacidad de Angular para internacionalizar atributos. Habilitar la internacionalización para el atributo sensible añadiendo i18n- omite el mecanismo de saneamiento integrado de Angular, lo que, cuando se combina con un enlace de datos a datos no confiables generados por el usuario, puede permitir a un atacante inyectar un script malicioso. Esta vulnerabilidad está corregida en las versiones 22.0.0-next.3, 21.2.4, 20.3.18 y 19.2.20.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en simpleeval de danthedeckie (CVE-2026-32640)
Fecha de publicación:
16/03/2026
Idioma:
Español
SimpleEval es una biblioteca para añadir expresiones evaluables en proyectos de python. Antes de la 1.0.5, los objetos (incluidos los módulos) pueden filtrar módulos peligrosos a través de acceso directo dentro del sandbox. Si los objetos que ha pasado como nombres a SimpleEval tienen módulos u otros objetos no permitidos / peligrosos disponibles como atributos. Además, se podría acceder a funciones o módulos peligrosos pasándolos como callbacks a otras funciones seguras para llamar. La última versión 1.0.5 tiene este problema solucionado. Esta vulnerabilidad está solucionada en la 1.0.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
21/04/2026

Vulnerabilidad en anything-llm de Mintplex-Labs (CVE-2026-32617)
Fecha de publicación:
16/03/2026
Idioma:
Español
AnythingLLM es una aplicación que convierte piezas de contenido en contexto que cualquier LLM puede usar como referencias durante el chat. En 1.11.1 y versiones anteriores, en instalaciones predeterminadas donde no se ha configurado ninguna contraseña o clave de API, todos los puntos finales HTTP y el WebSocket del agente carecen de autenticación, y la política CORS del servidor acepta cualquier origen. AnythingLLM Desktop se enlaza a 127.0.0.1 (loopback) por defecto. Los navegadores modernos (Chrome, Edge, Firefox) implementan el Acceso a Red Privada (PNA). Esto bloquea explícitamente que los sitios web públicos realicen solicitudes a direcciones IP locales. La explotación solo es viable desde dentro de la misma red local (LAN) debido al bloqueo a nivel de navegador de las solicitudes de público a privado.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en @apollo (CVE-2026-32621)
Fecha de publicación:
16/03/2026
Idioma:
Español
Apollo Federation es una arquitectura para componer declarativamente APIs en un grafo unificado. Antes de 2.9.6, 2.10.5, 2.11.6, 2.12.3 y 2.13.2, existe una vulnerabilidad en la ejecución del plan de consulta dentro del gateway que puede permitir la contaminación de Object.prototype en ciertos escenarios. Un cliente malicioso puede ser capaz de contaminar Object.prototype en el gateway directamente elaborando operaciones con alias de campo y/o nombres de variables que apuntan a propiedades heredables del prototipo. Alternativamente, si un subgrafo fuera comprometido por un actor malicioso, podrían ser capaces de contaminar Object.prototype en el gateway elaborando cargas útiles de respuesta JSON que apuntan a propiedades heredables del prototipo. Esta vulnerabilidad está corregida en 2.9.6, 2.10.5, 2.11.6, 2.12.3 y 2.13.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/03/2026

Vulnerabilidad en gmsm de emmansun (CVE-2026-32614)
Fecha de publicación:
16/03/2026
Idioma:
Español
La Biblioteca Go ShangMi (Criptografía Comercial) (GMSM) es una biblioteca criptográfica que cubre los algoritmos criptográficos públicos comerciales chinos SM2/SM3/SM4/SM9/ZUC. Antes de la versión 0.41.1, la implementación actual de descifrado de SM9 contiene una vulnerabilidad de falsificación de texto cifrado de punto al infinito. La causa raíz es que, durante el descifrado, el punto de curva elíptica C1 en el texto cifrado solo se deserializa y se verifica que esté en la curva, pero la implementación no rechaza explícitamente el punto en el infinito. En la implementación actual, un atacante puede construir C1 como el punto en el infinito, haciendo que el resultado del emparejamiento bilineal degenere en el elemento identidad en el grupo GT. Como resultado, una parte crítica de la entrada de derivación de clave se convierte en una constante predecible. Un atacante que solo conoce el UID del usuario objetivo puede derivar el material de la clave de descifrado y luego falsificar un texto cifrado que pase la verificación de integridad. Esta vulnerabilidad se corrige en la versión 0.41.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Pigeon de kasuganosoras (CVE-2026-32616)
Fecha de publicación:
16/03/2026
Idioma:
Español
Pigeon es un tablón de mensajes/bloc de notas/sistema social/blog. Antes de 1.0.201, la aplicación utiliza $_SERVER['HTTP_HOST'] sin validación para construir URLs de verificación de correo electrónico en los flujos de registro y resendmail. Un atacante puede manipular el encabezado Host en la solicitud HTTP, haciendo que el enlace de verificación enviado al correo electrónico del usuario apunte a un dominio controlado por el atacante. Esto puede llevar a la toma de control de cuenta mediante el robo del token de verificación de correo electrónico. Esta vulnerabilidad está corregida en 1.0.201.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/04/2026

Vulnerabilidad en parse-server (CVE-2026-32594)
Fecha de publicación:
16/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 8.6.40 y 9.6.0-alpha.14, el endpoint GraphQL WebSocket para suscripciones no pasa las solicitudes a través de la cadena de middleware de Express que aplica la autenticación, el control de introspección y los límites de complejidad de las consultas. Un atacante puede conectarse al endpoint WebSocket y ejecutar operaciones GraphQL sin proporcionar una aplicación o clave API válida, acceder al esquema GraphQL a través de la introspección incluso cuando la introspección pública está deshabilitada, y enviar consultas arbitrariamente complejas que eluden los límites de complejidad configurados. Esta vulnerabilidad está corregida en 8.6.40 y 9.6.0-alpha.14.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026
Suscribirse a Vulnerabilidades