Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Red Hat (CVE-2026-3429)
Fecha de publicación:
11/03/2026
Idioma:
Español
Se identificó una vulnerabilidad en la API REST de Cuentas de Keycloak que permite a un usuario autenticado con un nivel de seguridad inferior realizar acciones sensibles destinadas únicamente a sesiones de mayor garantía. Específicamente, un atacante que ya ha obtenido la contraseña de una víctima puede eliminar la credencial MFA/OTP registrada de la víctima sin probar primero la posesión de ese factor. El atacante puede entonces registrar su propio dispositivo MFA, tomando efectivamente el control total de la cuenta. Esta debilidad socava la protección prevista proporcionada por la autenticación multifactor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/04/2026

Vulnerabilidad en parse-server (CVE-2026-31840)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.2 y 8.6.28, un atacante puede usar un nombre de campo con notación de puntos en combinación con el parámetro de consulta 'sort' para inyectar SQL en la base de datos PostgreSQL a través de un escape incorrecto de valores de subcampo en consultas con notación de puntos. La vulnerabilidad también puede afectar a las consultas que usan nombres de campo con notación de puntos con los parámetros de consulta 'distinct' y 'where'. Esta vulnerabilidad solo afecta a los despliegues que usan una base de datos PostgreSQL. Esta vulnerabilidad está corregida en 9.6.0-alpha.2 y 8.6.28.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/03/2026

Vulnerabilidad en ImageMagick (CVE-2026-31853)
Fecha de publicación:
11/03/2026
Idioma:
Español
ImageMagick es software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de 7.1.2-16 y 6.9.13-41, un desbordamiento en sistemas de 32 bits puede causar un fallo en el decodificador SFW al procesar imágenes extremadamente grandes. Esta vulnerabilidad está corregida en 7.1.2-16 y 6.9.13-41.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Supabase Auth (CVE-2026-31813)
Fecha de publicación:
11/03/2026
Idioma:
Español
Supabase Auth es una API basada en JWT para gestionar usuarios y emitir tokens JWT. Antes de la versión 2.185.0, se ha identificado una vulnerabilidad que permite a un atacante emitir sesiones para usuarios arbitrarios utilizando tokens de ID especialmente diseñados cuando los proveedores de Apple o Azure están habilitados. El atacante emite un token de ID válido, firmado asimétricamente, desde su emisor para cada dirección de correo electrónico de la víctima, el cual luego se envía al endpoint de tokens de Supabase Auth utilizando el flujo de tokens de ID. Si el token de ID cumple con OIDC, el servidor de Auth lo validaría contra el emisor controlado por el atacante y vincularía la identidad OIDC existente (Apple o Azure) de la víctima a una identidad OIDC adicional basada en el contenido del token de ID. El servidor de Auth emitiría entonces una sesión de usuario válida (tokens de acceso y de actualización) en el nivel AAL1 al atacante. Esta vulnerabilidad está corregida en la versión 2.185.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2026

Vulnerabilidad en cursor (CVE-2026-31854)
Fecha de publicación:
11/03/2026
Idioma:
Español
Cursor es un editor de código diseñado para programar con IA. Antes de 2.0, si un sitio web visitado contiene instrucciones creadas maliciosamente, el modelo podría intentar seguirlas para 'asistir' al usuario. Cuando se combina con una omisión del mecanismo de lista blanca de comandos, tales inyecciones de prompt indirectas podrían resultar en la ejecución automática de comandos, sin la intención explícita del usuario, lo que representa un riesgo de seguridad significativo. Esta vulnerabilidad se ha corregido en 2.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en code-quality.yml de jellyfin (CVE-2026-31852)
Fecha de publicación:
11/03/2026
Idioma:
Español
Jellyfin es un sistema multimedia de código abierto. El flujo de trabajo de GitHub Actions 'code-quality.yml' en jellyfin/jellyfin-ios es vulnerable a la ejecución de código arbitrario a través de solicitudes de extracción (pull requests) de repositorios bifurcados. Debido a los permisos elevados del flujo de trabajo (casi todos los permisos de escritura), esta vulnerabilidad permite la toma de control completa del repositorio jellyfin/jellyfin-ios, la exfiltración de secretos altamente privilegiados, un ataque a la cadena de suministro de la Apple App Store, el envenenamiento de paquetes del GitHub Container Registry (ghcr.io) y el compromiso completo de la organización jellyfin a través del uso de tokens entre repositorios. Nota: Esto no es una vulnerabilidad de código, sino una vulnerabilidad en los flujos de trabajo de GitHub Actions. No se requiere una nueva versión para esta GHSA y los usuarios finales no necesitan tomar ninguna medida.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2026

Vulnerabilidad en Striae (CVE-2026-31839)
Fecha de publicación:
11/03/2026
Idioma:
Español
Striae es un compañero de comparación para examinadores de armas de fuego. Existía una vulnerabilidad de omisión de integridad de alta gravedad en el flujo de trabajo de confirmación digital de Striae antes de la v3.0.0. La validación solo por hash confiaba en los campos de hash del manifiesto que podían ser modificados junto con el contenido del paquete, permitiendo que los paquetes de confirmación manipulados pasaran las comprobaciones de integridad. Esta vulnerabilidad está corregida en la 3.0.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en OpenProject (CVE-2026-30239)
Fecha de publicación:
11/03/2026
Idioma:
Español
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Antes de la versión 17.2.0, cuando se eliminan presupuestos, los paquetes de trabajo que estaban asignados a ese presupuesto deben ser movidos a un presupuesto diferente. Esta acción se realizaba antes de que se ejecutara la verificación de permisos sobre la acción de eliminación. Esto permitía a todos los usuarios de la aplicación eliminar las asignaciones de presupuesto de los paquetes de trabajo. Esta vulnerabilidad se corrige en la versión 17.2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en OpenProject (CVE-2026-30236)
Fecha de publicación:
11/03/2026
Idioma:
Español
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Antes de la 17.2.0, al editar un presupuesto de proyecto y planificar el costo de la mano de obra, no se verificaba que el usuario planificado en el presupuesto fuera realmente un miembro del proyecto. Esto exponía la tarifa predeterminada del usuario (si se había configurado una) a usuarios que solo deberían ver esa información para miembros del proyecto. Además, el endpoint que maneja el precálculo para que el frontend muestre una vista previa de los costos, mientras se introducían, tampoco validaba correctamente la membresía del usuario. Esto también permitía calcular costos con la tarifa predeterminada de no miembros. Esta vulnerabilidad está corregida en la 17.2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en OpenProject (CVE-2026-30235)
Fecha de publicación:
11/03/2026
Idioma:
Español
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Antes de la versión 17.2.0, esta vulnerabilidad ocurre debido a una validación incorrecta del renderizado de Markdown de OpenProject, específicamente en el manejo de hipervínculos. Esto permite a un atacante inyectar cargas útiles de hipervínculos maliciosos que realizan DOM clobbering. El DOM clobbering puede bloquear o dejar en blanco la página completa al sobrescribir funciones DOM nativas con elementos HTML, causando que llamadas críticas de JavaScript arrojen errores en tiempo de ejecución durante la inicialización de la aplicación y detengan la ejecución posterior. Esta vulnerabilidad está corregida en la versión 17.2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en OPNsense (CVE-2026-30868)
Fecha de publicación:
11/03/2026
Idioma:
Español
OPNsense es una plataforma de cortafuegos y enrutamiento basada en FreeBSD. Antes de la versión 26.1.4, múltiples puntos finales de la API MVC de OPNsense realizan operaciones que cambian el estado, pero son accesibles a través de solicitudes HTTP GET sin protección CSRF. La validación CSRF del framework en ApiControllerBase solo se aplica a los métodos POST/PUT/DELETE, permitiendo que las solicitudes GET autenticadas omitan la verificación CSRF. Como resultado, un sitio web malicioso puede desencadenar acciones privilegiadas en el backend cuando es visitado por un usuario autenticado, causando recargas de servicio y cambios de configuración no deseados a través de configd. Esto resulta en una vulnerabilidad de falsificación de solicitud entre sitios (Cross-Site Request Forgery) autenticada que permite cambios de estado del sistema no autorizados. Esta vulnerabilidad está corregida en la versión 26.1.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en Splunk (CVE-2026-20166)
Fecha de publicación:
11/03/2026
Idioma:
Español
En las versiones de Splunk Enterprise anteriores a la 10.2.1 y 10.0.4, y en las versiones de Splunk Cloud Platform anteriores a la 10.2.2510.5, 10.1.2507.16 y 10.0.2503.12, un usuario con privilegios bajos que no posee los roles de Splunk &amp;#39;admin&amp;#39; o &amp;#39;power&amp;#39; podría recuperar el token de acceso de la API de Observability Cloud a través de la aplicación Discover Splunk Observability Cloud debido a un control de acceso inadecuado.<br /> <br /> Esta vulnerabilidad no afecta a las versiones de Splunk Enterprise anteriores a la 9.4.9 y 9.3.10 porque la aplicación Discover Splunk Observability Cloud no viene incluida con Splunk Enterprise.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026
Suscribirse a Vulnerabilidades