Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en snowflakedb snowflake-jdbc (CVE-2026-3293)
Fecha de publicación:
27/02/2026
Idioma:
Español
Se ha identificado una debilidad en snowflakedb snowflake-jdbc hasta la versión 4.0.1 que afecta a SdkProxyRoutePlanner del archivo src/main/java/net/snowflake/client/internal/core/SdkProxyRoutePlanner.java del componente JDBC URL gestor. Manipular el argumento nonProxyHosts puede llevar a una complejidad ineficiente de la expresión regular. El ataque solo puede ejecutarse localmente. El exploit se ha puesto a disposición del público y podría usarse para ataques. Este parche se llama 5fb0a8a318a2ed87f4022a1f56e742424ba94052. Es preciso aplicar el parche para solucionar este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026

Vulnerabilidad en Soliton Systems K.K. (CVE-2026-27653)
Fecha de publicación:
27/02/2026
Idioma:
Español
Los instaladores para múltiples productos proporcionados por Soliton Systems K.K. contienen un problema con permisos predeterminados incorrectos, lo que puede permitir que se ejecute código arbitrario con privilegios de SYSTEM.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en jizhiCMS (CVE-2026-3292)
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en jizhiCMS hasta la versión 2.5.6. Afectada es la función findAll en la biblioteca frphp/lib/Model.php del componente Batch Interface. La manipulación del argumento data conduce a inyección SQL. El ataque es posible de ser llevado a cabo de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en PublicCMS (CVE-2026-3289)
Fecha de publicación:
27/02/2026
Idioma:
Español
Se ha identificado una debilidad en Sanluan PublicCMS 6.202506.d. Esto afecta a la función saveMetadata del archivo TemplateCacheComponent.java del componente Template Cache Generation. Una manipulación puede conducir a un salto de ruta. El ataque puede ejecutarse de forma remota. El exploit se ha puesto a disposición del público y podría utilizarse para ataques. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026

Vulnerabilidad en youlaitech youlai-mall (CVE-2026-3287)
Fecha de publicación:
27/02/2026
Idioma:
Español
Se ha descubierto una vulnerabilidad de seguridad en youlaitech youlai-mall 2.0.0. Esto afecta a la función listPagedSpuForApp del archivo mall-pms/pms-boot/src/main/java/com/youlai/mall/pms/controller/app/SpuController.java del componente App-side Product Pagination Endpoint. Realizar una manipulación del argumento sortField/sort resulta en inyección SQL. La explotación remota del ataque es posible. El exploit ha sido publicado y puede ser utilizado para ataques. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026

Vulnerabilidad en OpenStack Vitrage (CVE-2026-28370)
Fecha de publicación:
27/02/2026
Idioma:
Español
En el analizador de consultas de OpenStack Vitrage antes de las versiones 12.0.1, 13.0.0, 14.0.0 y 15.0.0, un usuario con permiso para acceder a la API de Vitrage podría desencadenar la ejecución de código en el host del servicio Vitrage como el usuario bajo el cual se ejecuta el servicio Vitrage. Esto podría resultar en acceso no autorizado al host y un compromiso adicional del servicio Vitrage. Todas las implementaciones que exponen la API de Vitrage se ven afectadas. Esto ocurre en _create_query_function en vitrage/graph/query.py.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/03/2026

Vulnerabilidad en WP Recipe Maker (CVE-2026-1558)
Fecha de publicación:
27/02/2026
Idioma:
Español
El plugin WP Recipe Maker para WordPress es vulnerable a una Referencia Directa a Objeto Insegura (IDOR) en versiones hasta la 10.3.2, inclusive. Esto se debe a que el endpoint de la API REST /wp-json/wp-recipe-maker/v1/integrations/instacart tiene su permission_callback configurado como __return_true y a la falta de comprobaciones posteriores de autorización o propiedad en el recipeId proporcionado por el usuario. Esto hace posible que atacantes no autenticados sobrescriban metadatos de publicaciones arbitrarios (wprm_instacart_combinations) para cualquier ID de publicación en el sitio a través del parámetro recipeId.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Unitree (CVE-2026-1442)
Fecha de publicación:
27/02/2026
Idioma:
Español
Dado que el algoritmo de cifrado utilizado para proteger las actualizaciones de firmware está a su vez cifrado utilizando material clave disponible para un atacante (o cualquiera que preste atención), las actualizaciones de firmware pueden ser alteradas por un usuario no autorizado, y luego confiadas por un producto Unitree, como el Unitree Go2 y otros modelos. Este problema parece afectar a todas las ofertas actuales de Unitree a partir del 26 de febrero de 2026, y por lo tanto debe considerarse una vulnerabilidad tanto en los procesos de generación como de extracción de firmware. En el momento de esta publicación, no existe un mecanismo documentado públicamente para subvertir el proceso de actualización e insertar paquetes de firmware envenenados sin el conocimiento del propietario del equipo.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en OpenClaw (CVE-2026-28363)
Fecha de publicación:
27/02/2026
Idioma:
Español
En OpenClaw antes de 2026.2.23, la validación de tools.exec.safeBins para sort podría ser eludida a través de abreviaturas de opciones largas de GNU (como --compress-prog) en modo de lista de permitidos, lo que llevaba a rutas de ejecución sin aprobación que estaban destinadas a requerir aprobación. Solo una cadena exacta como --compress-program era denegada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/02/2026

Vulnerabilidad en Fluent Forms Pro Add On Pack (CVE-2026-2428)
Fecha de publicación:
27/02/2026
Idioma:
Español
El plugin Fluent Forms Pro Add On Pack para WordPress es vulnerable a la Verificación Insuficiente de Autenticidad de Datos en todas las versiones hasta la 6.1.17, inclusive. Esto se debe a que la verificación de PayPal IPN (Notificación Instantánea de Pago) está deshabilitada por defecto (disable_ipn_verification tiene un valor predeterminado de 'yes' en PayPalSettings.php). Esto permite que atacantes no autenticados envíen notificaciones PayPal IPN falsificadas al endpoint IPN de acceso público, marcando las entregas de formularios no pagadas como 'pagadas' y activando la automatización posterior al pago (correos electrónicos, concesión de accesos, entrega de productos digitales).
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en itwanger paicoding (CVE-2026-3286)
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad fue identificada en itwanger paicoding 1.0.0/1.0.1/1.0.2/1.0.3. El elemento afectado es la función Save del archivo paicoding-web/src/main/java/com/github/paicoding/forum/web/common/image/rest/ImageRestController.java del componente Image Save Endpoint. Dicha manipulación del argumento img conduce a falsificación de petición del lado del servidor. El ataque puede ser lanzado remotamente. El exploit está disponible públicamente y podría ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026

Vulnerabilidad en OCaml (CVE-2026-28364)
Fecha de publicación:
27/02/2026
Idioma:
Español
En OCaml anterior a 4.14.3 y 5.x anterior a 5.4.1, un desbordamiento de lectura de búfer en la deserialización de Marshal (runtime/intern.c) permite la ejecución remota de código a través de una cadena de ataque multifase. La vulnerabilidad radica en la falta de validación de límites en la función readblock(), que realiza operaciones memcpy() sin límites utilizando longitudes controladas por el atacante a partir de datos Marshal manipulados.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/03/2026
Suscribirse a Vulnerabilidades