Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Plunk de useplunk (CVE-2026-32096)
Fecha de publicación:
11/03/2026
Idioma:
Español
Plunk es una plataforma de correo electrónico de código abierto construida sobre AWS SES. Antes de la 0.7.0, existía una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en el gestor de webhook de SNS. Un atacante no autenticado podría enviar una petición manipulada que causaba que el servidor realizara una petición HTTP GET saliente arbitraria a cualquier host accesible desde el servidor. Esta vulnerabilidad está corregida en la 0.7.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/03/2026

Vulnerabilidad en Plunk de useplunk (CVE-2026-32095)
Fecha de publicación:
11/03/2026
Idioma:
Español
Plunk es una plataforma de correo electrónico de código abierto construida sobre AWS SES. Antes de la versión 0.7.1, el punto final de carga de imágenes de Plunk aceptaba archivos SVG, que los navegadores tratan como documentos activos capaces de ejecutar JavaScript incrustado, creando una vulnerabilidad de XSS almacenado. Esta vulnerabilidad está corregida en la versión 0.7.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Shescape de ericcornelissen (CVE-2026-32094)
Fecha de publicación:
11/03/2026
Idioma:
Español
Shescape es una sencilla biblioteca de escape de shell para JavaScript. Antes de la versión 2.1.10, Shescape#escape() no escapa la sintaxis glob de corchetes para Bash, BusyBox sh y Dash. Las aplicaciones que interpolan el valor de retorno directamente en una cadena de comando de shell pueden hacer que un valor controlado por un atacante, como secret[12], se expanda en múltiples coincidencias del sistema de archivos en lugar de un único argumento literal, convirtiendo un argumento en múltiples coincidencias de rutas de confianza. Esta vulnerabilidad está corregida en la versión 2.1.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Himmelblau de himmelblau-idm (CVE-2026-31979)
Fecha de publicación:
11/03/2026
Idioma:
Español
Himmelblau es una suite de interoperabilidad para Microsoft Azure Entra ID e Intune. Antes de las versiones 3.1.0 y 2.3.8, el demonio himmelblaud-tasks, ejecutándose como root, escribe archivos de caché de Kerberos bajo /tmp/krb5cc_ sin protecciones de enlaces simbólicos. Desde el commit 87a51ee, PrivateTmp se elimina explícitamente del endurecimiento de systemd del demonio de tareas, exponiéndolo al /tmp del host. Un usuario local puede explotar esto mediante ataques de enlaces simbólicos para cambiar el propietario (chown) o sobrescribir archivos arbitrarios, logrando una escalada de privilegios local. Esta vulnerabilidad está corregida en las versiones 3.1.0 y 2.3.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en xygeni-action de xygeni (CVE-2026-31976)
Fecha de publicación:
11/03/2026
Idioma:
Español
xygeni-action es la Acción de GitHub para Xygeni Scanner. El 3 de marzo de 2026, un atacante con acceso a credenciales comprometidas creó una serie de solicitudes de extracción (#46, #47, #48) inyectando código shell ofuscado en action.yml. Las solicitudes de extracción fueron bloqueadas por las reglas de protección de rama y nunca se fusionaron en la rama principal. Sin embargo, el atacante utilizó las credenciales comprometidas de la aplicación de GitHub para mover la etiqueta mutable v5 para que apuntara al commit malicioso (4bf1d4e19ad81a3e8d4063755ae0f482dd3baf12) de una de las solicitudes de extracción no fusionadas. Este commit permaneció en el almacén de objetos git del repositorio, y cualquier flujo de trabajo que hiciera referencia a @v5 lo recuperaría y ejecutaría. Esto es un compromiso de la cadena de suministro mediante envenenamiento de etiquetas. Cualquier flujo de trabajo de GitHub Actions que hiciera referencia a xygeni/xygeni-action@v5 durante la ventana afectada (aproximadamente del 3 al 10 de marzo de 2026) ejecutó un implante C2 que otorgó al atacante ejecución arbitraria de comandos en el ejecutor de CI por hasta 180 segundos por ejecución de flujo de trabajo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
16/03/2026

Vulnerabilidad en Quill de anchore (CVE-2026-31961)
Fecha de publicación:
11/03/2026
Idioma:
Español
Quill proporciona firma binaria de mac y notarización simples desde cualquier plataforma. Quill antes de la versión v0.7.1 contiene una vulnerabilidad de asignación de memoria ilimitada al analizar binarios Mach-O. La explotación requiere que Quill procese un binario Mach-O proporcionado por un atacante, lo cual es más probable en entornos como pipelines de CI/CD, servicios de firma compartidos o cualquier flujo de trabajo donde se acepten binarios enviados externamente para la firma. Al analizar un binario Mach-O, Quill lee varios campos de tamaño y recuento del comando de carga LC_CODE_SIGNATURE y estructuras de firma de código incrustadas (SuperBlob, BlobIndex) y los usa para asignar búferes de memoria sin validar que los valores sean razonables o consistentes con el tamaño real del archivo. Los campos afectados incluyen DataSize, DataOffset y Size del comando de carga, Count del encabezado SuperBlob y Length de los encabezados de blobs individuales. Un atacante puede crear un binario Mach-O malicioso mínimo (~4KB) con valores extremadamente grandes en estos campos, lo que hace que Quill intente asignar memoria excesiva. Esto lleva al agotamiento de la memoria y a la denegación de servicio, lo que podría bloquear el proceso anfitrión. Tanto la CLI de Quill como la biblioteca de Go se ven afectadas cuando se usan para analizar archivos Mach-O no confiables. Esta vulnerabilidad se corrige en 0.7.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en OpenProject de opf (CVE-2026-31974)
Fecha de publicación:
11/03/2026
Idioma:
Español
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Antes de la versión 17.2.0, el endpoint de prueba SMTP de OpenProject (POST /admin/settings/mail_notifications) acepta valores arbitrarios de host y puerto y exhibe diferencias medibles en el comportamiento de la respuesta dependiendo de si la IP objetivo existe y de si el puerto está abierto. Un atacante con acceso puede usar estas distinciones de tiempo y error para mapear hosts internos e identificar qué servicios/puertos son accesibles. De manera similar, se pueden crear webhooks en OpenProject y apuntarlos a IPs arbitrarias, lo que resulta en el mismo tipo de problema de SSRF que permite a los atacantes escanear la red interna. Esta vulnerabilidad está corregida en la versión 17.2.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
23/03/2026

Vulnerabilidad en Tornado de tornadoweb (CVE-2026-31958)
Fecha de publicación:
11/03/2026
Idioma:
Español
Tornado es un framework web de Python y una biblioteca de red asíncrona. En versiones de Tornado anteriores a la 6.5.5, el único límite en el número de partes en multipart/form-data es la configuración max_body_size (predeterminado 100MB). Dado que el análisis ocurre de forma síncrona en el hilo principal, esto crea la posibilidad de denegación de servicio debido al costo de analizar cuerpos multipart muy grandes con muchas partes. Esta vulnerabilidad se corrige en la 6.5.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en parse-server (CVE-2026-31901)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.34 y 9.6.0-alpha.8, el endpoint de verificación de correo electrónico (/verificationEmailRequest) devuelve respuestas de error distintas dependiendo de si una dirección de correo electrónico pertenece a un usuario existente, ya está verificada o no existe. Un atacante puede enviar solicitudes con diferentes direcciones de correo electrónico y observar los códigos de error para determinar qué direcciones de correo electrónico están registradas en la aplicación. Esta es una vulnerabilidad de enumeración de usuarios que afecta a cualquier despliegue de Parse Server con la verificación de correo electrónico habilitada (verifyUserEmails: true). Esta vulnerabilidad está corregida en las versiones 8.6.34 y 9.6.0-alpha.8.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en Quill de anchore (CVE-2026-31960)
Fecha de publicación:
11/03/2026
Idioma:
Español
Quill proporciona firma binaria de mac simple y notarización desde cualquier plataforma. Quill antes de la versión v0.7.1 tiene lecturas ilimitadas de cuerpos de respuesta HTTP durante el proceso de notarización de Apple. La explotación requiere la capacidad de modificar respuestas de API del servicio de notarización de Apple, lo cual no es posible bajo condiciones de red estándar debido a HTTPS con validación adecuada de certificados TLS; sin embargo, entornos con proxies de intercepción TLS (comunes en redes corporativas), autoridades de certificación comprometidas, u otras violaciones de límites de confianza están en riesgo. Al procesar respuestas HTTP durante la notarización, Quill lee el cuerpo completo de la respuesta en la memoria sin ningún límite de tamaño. Un atacante que puede controlar o modificar el contenido de la respuesta puede devolver una carga útil arbitrariamente grande, haciendo que el cliente de Quill se quede sin memoria y falle. El impacto se limita a la disponibilidad; no hay efecto en la confidencialidad o integridad. Tanto la CLI de Quill como la biblioteca se ven afectadas cuando se utilizan para realizar operaciones de notarización. Esta vulnerabilidad se corrige en 0.7.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Quill de anchore (CVE-2026-31959)
Fecha de publicación:
11/03/2026
Idioma:
Español
Quill proporciona firma binaria de mac y notarización simple desde cualquier plataforma. Quill antes de la versión v0.7.1 contiene una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) al intentar obtener los registros de envío de notarización de Apple. La explotación requiere la capacidad de modificar respuestas de la API del servicio de notarización de Apple, lo cual no es posible bajo condiciones de red estándar debido a HTTPS con validación adecuada de certificados TLS; sin embargo, entornos con proxies de intercepción TLS (comunes en redes corporativas), autoridades de certificación comprometidas, u otras violaciones de límites de confianza están en riesgo. Al recuperar los registros de envío, Quill obtiene una URL proporcionada en la respuesta de la API sin validar que el esquema sea https o que el host no apunte a una dirección IP local o de multidifusión. Un atacante que puede manipular la respuesta puede proporcionar una URL arbitraria, haciendo que el cliente de Quill emita peticiones HTTP o HTTPS a destinos de red controlados por el atacante o internos. Esto podría llevar a la exfiltración de datos sensibles como credenciales de proveedores de la nube o respuestas de servicios internos. Tanto la CLI de Quill como la biblioteca se ven afectadas cuando se usan para recuperar los registros de envío de notarización. Esta vulnerabilidad está corregida en 0.7.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Himmelblau de himmelblau-idm (CVE-2026-31957)
Fecha de publicación:
11/03/2026
Idioma:
Español
Himmelblau es una suite de interoperabilidad para Microsoft Azure Entra ID e Intune. Desde 3.0.0 hasta antes de 3.1.0, si Himmelblau se despliega sin un dominio de inquilino configurado en himmelblau.conf, la autenticación no está limitada al inquilino. En este modo, Himmelblau puede aceptar intentos de autenticación para dominios arbitrarios de Entra ID mediante el registro dinámico de proveedores en tiempo de ejecución. Este comportamiento está previsto para escenarios de arranque inicial/local, pero puede crear riesgo en entornos de autenticación remota. Esta vulnerabilidad se corrige en 3.1.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/03/2026
Suscribirse a Vulnerabilidades