Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en eWON (CVE-2019-25470)
Fecha de publicación:
11/03/2026
Idioma:
Español
Las versiones de firmware de eWON 12.2 a 13.0 contienen una vulnerabilidad de omisión de autenticación que permite a atacantes con privilegios mínimos recuperar datos de usuario sensibles explotando el endpoint wsdReadForm. Los atacantes pueden enviar solicitudes POST a /wrcgi.bin/wsdReadForm con credenciales parciales codificadas en base64 y un parámetro wsdList manipulado para extraer contraseñas cifradas de todos los usuarios, las cuales pueden ser descifradas utilizando una clave XOR codificada de forma fija.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en AVCON6 systems management platform de Epross (CVE-2018-25159)
Fecha de publicación:
11/03/2026
Idioma:
Español
La plataforma de gestión de sistemas Epross AVCON6 contiene una vulnerabilidad de inyección de lenguaje de navegación de grafos de objetos (OGNL) que permite a atacantes no autenticados ejecutar comandos arbitrarios inyectando expresiones OGNL maliciosas. Los atacantes pueden enviar solicitudes manipuladas al endpoint login.action con cargas útiles OGNL en el parámetro redirect para instanciar objetos ProcessBuilder y ejecutar comandos del sistema con privilegios de root.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Nsauditor (CVE-2019-25463)
Fecha de publicación:
11/03/2026
Idioma:
Español
SpotIE Internet Explorer Password Recovery 2.9.5 contiene una vulnerabilidad de denegación de servicio en el campo de entrada de la clave de registro que permite a atacantes locales bloquear la aplicación al introducir una cadena excesivamente larga. Los atacantes pueden pegar una carga útil de 256 caracteres en el campo Key durante el registro para desencadenar un desbordamiento de búfer y bloquear la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en InputMapper de DSD Consulting Services LLC. (CVE-2019-25464)
Fecha de publicación:
11/03/2026
Idioma:
Español
InputMapper 1.6.10 contiene una vulnerabilidad de desbordamiento de búfer en el campo de nombre de usuario que permite a atacantes locales bloquear la aplicación al introducir una cadena excesivamente larga. Los atacantes pueden desencadenar una denegación de servicio al copiar una carga útil grande en el campo de nombre de usuario y hacer doble clic para procesarla, lo que provoca que la aplicación se bloquee.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en HiIpcam de Hisilicon (CVE-2019-25465)
Fecha de publicación:
11/03/2026
Idioma:
Español
Hisilicon HiIpcam V100R003 contiene una vulnerabilidad de salto de directorio que permite a atacantes no autenticados acceder a archivos de configuración sensibles explotando el listado de directorios en el directorio cgi-bin. Los atacantes pueden solicitar el endpoint getadslattr.cgi para recuperar credenciales ADSL y parámetros de configuración de red incluyendo nombres de usuario, contraseñas y configuraciones de DNS.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Easy File Sharing Web Server de Sharing-File (CVE-2019-25466)
Fecha de publicación:
11/03/2026
Idioma:
Español
Easy File Sharing Servidor Web 7.2 contiene una vulnerabilidad local de desbordamiento de búfer de manejo de excepciones estructurado que permite a atacantes locales ejecutar código arbitrario mediante la creación de un nombre de usuario malicioso. Los atacantes pueden elaborar un nombre de usuario con una carga útil que contiene 4059 bytes de relleno seguido de un valor nseh y un puntero seh para activar el desbordamiento al añadir una nueva cuenta de usuario.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en parse-server (CVE-2026-31875)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.7 y 8.6.33, cuando la autenticación multifactor (MFA) vía TOTP está habilitada para una cuenta de usuario, Parse Server genera dos códigos de recuperación de un solo uso. Estos códigos están destinados como un mecanismo de respaldo cuando el usuario no puede proporcionar un token TOTP. Sin embargo, los códigos de recuperación no se consumen después de su uso, permitiendo que el mismo código de recuperación sea utilizado un número ilimitado de veces. Esto anula el diseño de un solo uso de los códigos de recuperación y debilita la seguridad de las cuentas protegidas por MFA. Un atacante que obtiene un solo código de recuperación puede autenticarse repetidamente como el usuario afectado sin que el código sea invalidado. Esta vulnerabilidad está corregida en 9.6.0-alpha.7 y 8.6.33.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en Cloud CLI (CVE-2026-31975)
Fecha de publicación:
11/03/2026
Idioma:
Español
Cloud CLI (también conocida como Claude Code UI) es una interfaz de usuario de escritorio y móvil para Claude Code, Cursor CLI, Codex y Gemini-CLI. Antes de la versión 1.25.0, existía una inyección de comandos del sistema operativo (OS Command Injection) a través de WebSocket Shell. Tanto projectPath como initialCommand en servidor/index.js se toman directamente de la carga útil del mensaje de WebSocket y se interpolan en una cadena de comandos bash sin ninguna sanitización, lo que permite la ejecución arbitraria de comandos del sistema operativo. Existe un vector de inyección secundario a través de un sessionId no sanitizado. Esta vulnerabilidad se corrige en la versión 1.25.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en parse-server (CVE-2026-31872)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.6 y 8.6.32, el permiso a nivel de clase (CLP) protectedFields puede ser eludido usando la notación de puntos en cláusulas WHERE de consulta y parámetros de ordenación. Un atacante puede usar la notación de puntos para consultar u ordenar por subcampos de un campo protegido, lo que permite un ataque de oráculo binario para enumerar los valores de los campos protegidos. Esto afecta tanto a las implementaciones de MongoDB como de PostgreSQL. Esta vulnerabilidad está corregida en 9.6.0-alpha.6 y 8.6.32.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en parse-server (CVE-2026-31871)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 9.6.0-alpha.5 y 8.6.31, existe una vulnerabilidad de inyección SQL en el adaptador de almacenamiento de PostgreSQL al procesar operaciones de Incremento en campos de objetos anidados usando notación de puntos (por ejemplo, stats.counter). El nombre de la subclave se interpola directamente en literales de cadena SQL sin escape. Un atacante que puede enviar solicitudes de escritura a la API REST de Parse Server puede inyectar SQL arbitrario a través de un nombre de subclave manipulado que contenga comillas simples, potencialmente ejecutando comandos o leyendo datos de la base de datos, eludiendo CLPs y ACLs. Solo las implementaciones de Postgres se ven afectadas. Esta vulnerabilidad está corregida en las versiones 9.6.0-alpha.5 y 8.6.31.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/03/2026

Vulnerabilidad en cpp-httplib de yhirose (CVE-2026-31870)
Fecha de publicación:
11/03/2026
Idioma:
Español
cpp-httplib es una biblioteca HTTP/HTTPS multiplataforma de un solo archivo y solo de cabecera para C++11. Antes de la versión 0.37.1, cuando un cliente cpp-httplib utiliza la API de streaming (httplib::stream::Get, httplib::stream::Post, etc.), la biblioteca llama directamente a std::stoull() sobre el valor del encabezado Content-Length recibido del servidor sin validación de entrada y sin manejo de excepciones. std::stoull lanza std::invalid_argument para cadenas no numéricas y std::out_of_range para valores que exceden ULLONG_MAX. Dado que nada captura estas excepciones, el tiempo de ejecución de C++ llama a std::terminate(), lo que termina el proceso con SIGABRT. Cualquier servidor al que se conecte el cliente —incluidos los servidores alcanzados a través de redirecciones HTTP, APIs de terceros o posiciones de man-in-the-middle— puede bloquear la aplicación cliente con una única respuesta HTTP. No se requiere autenticación. No se requiere interacción del usuario final. El bloqueo es determinista e inmediato. Esta vulnerabilidad se corrige en la versión 0.37.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en parse-server (CVE-2026-31868)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede implementarse en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.4 y 8.6.30, un atacante puede subir un archivo con una extensión de archivo o tipo de contenido que no está bloqueado por la configuración predeterminada de la opción fileUpload.fileExtensions de Parse Server. El archivo puede contener código malicioso, por ejemplo JavaScript en un archivo SVG o XHTML. Cuando se accede al archivo a través de su URL, el navegador renderiza el archivo y ejecuta el código malicioso en el contexto del dominio de Parse Server. Esta es una vulnerabilidad de cross-site scripting (XSS) almacenado que puede ser explotada para robar tokens de sesión, redirigir usuarios o realizar acciones en nombre de otros usuarios. Las extensiones de archivo y tipos de contenido afectados incluyen .svgz, .xht, .xml, .xsl, .xslt, y los tipos de contenido application/xhtml+xml y application/xslt+xml para subidas sin extensión. La subida de archivos .html, .htm, .shtml, .xhtml y .svg ya estaba bloqueada. Esta vulnerabilidad está corregida en 9.6.0-alpha.4 y 8.6.30.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/03/2026
Suscribirse a Vulnerabilidades