Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Feathersjs (CVE-2026-27192)
Fecha de publicación:
21/02/2026
Idioma:
Español
Feathersjs es un framework para crear APIs web y aplicaciones en tiempo real con TypeScript o JavaScript. En las versiones 5.0.39 e inferiores, la validación de origen utiliza startsWith() para la comparación, lo que permite a los atacantes eludir la verificación al registrar un dominio que comparte un prefijo común con un origen permitido. La función getAllowedOrigin() comprueba si el encabezado Referer comienza con cualquier origen permitido, y esta comparación es insuficiente ya que solo valida el prefijo. Esto es explotable cuando el array de orígenes está configurado y un atacante registra un dominio que comienza con una cadena de origen permitida (p. ej., https://target.com.attacker.com elude https://target.com). Por sí solos, los tokens siguen siendo redirigidos a un origen configurado. Sin embargo, en escenarios específicos un atacante puede iniciar el flujo de OAuth desde un origen no autorizado y exfiltrar tokens, logrando una toma de control total de la cuenta. Este problema ha sido solucionado en la versión 5.0.40.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en Feathersjs (CVE-2026-27191)
Fecha de publicación:
21/02/2026
Idioma:
Español
Feathersjs es un framework para crear APIs web y aplicaciones en tiempo real con TypeScript o JavaScript. En las versiones 5.0.39 e inferiores, el parámetro de consulta redirect se añade al origen base sin validación, permitiendo a los atacantes robar tokens de acceso mediante inyección de autoridad de URL. Esto lleva a una toma de control total de la cuenta, ya que el atacante obtiene el token de acceso de la víctima y puede suplantarla. La aplicación construye la URL de redirección final concatenando el origen base con el parámetro redirect proporcionado por el usuario. Esto es explotable cuando el array de orígenes está configurado y los valores de origen no terminan con /. Un atacante puede proporcionar @attacker.com como valor de redirección, lo que resulta en https://target.com@attacker.com#access_token=..., donde el navegador interpreta attacker.com como el host, lo que lleva a una toma de control total de la cuenta. Este problema ha sido solucionado en la versión 5.0.40.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en Apache Airflow de Apache Software Foundation (CVE-2025-65995)
Fecha de publicación:
21/02/2026
Idioma:
Español
Cuando un DAG fallaba durante el análisis, la notificación de errores de Airflow en la interfaz de usuario podía incluir los kwargs completos pasados a los operadores. Si esos kwargs contenían valores sensibles (como secretos), podrían quedar expuestos en los rastreos de la interfaz de usuario a usuarios autenticados que tenían permiso para ver ese DAG. El problema ha sido solucionado en Airflow 3.1.4 y 2.11.1, y se recomienda encarecidamente a los usuarios que actualicen para evitar la posible divulgación de información sensible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en GetSimple CMS (CVE-2026-27202)
Fecha de publicación:
21/02/2026
Idioma:
Español
GetSimple CMS es un sistema de gestión de contenidos. Todas las versiones de GetSimple CMS tienen una falla en la característica de Archivos Subidos que permite lecturas arbitrarias de archivos. Este problema sigue sin haber sido solucionado en el momento de la publicación.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en OpenSift (CVE-2026-27189)
Fecha de publicación:
21/02/2026
Idioma:
Español
OpenSift es una herramienta de estudio de IA que tamiza grandes conjuntos de datos utilizando búsqueda semántica e inteligencia artificial generativa. Las versiones 1.1.2-alpha e inferiores utilizan flujos de persistencia JSON locales no atómicos e insuficientemente sincronizados, causando potencialmente que las operaciones concurrentes pierdan actualizaciones o corrompan el estado local en los almacenes de sesiones/estudio/cuestionarios/tarjetas didácticas/bienestar/autenticación. Este problema ha sido solucionado en la versión 1.1.3-alpha.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en ebay-mcp de YosefHayim (CVE-2026-27203)
Fecha de publicación:
21/02/2026
Idioma:
Español
eBay API MCP Server es un servidor MCP local de código abierto que proporciona a los asistentes de IA acceso completo a las API de venta de eBay. Todas las versiones son vulnerables a la Inyección de Variables de Entorno a través de la función updateEnvFile. La herramienta ebay_set_user_tokens permite actualizar el archivo .env con nuevos tokens. La función updateEnvFile en src/auth/oauth.ts añade o reemplaza valores ciegamente sin validarlos en busca de saltos de línea o comillas. Esto permite a un atacante inyectar variables de entorno arbitrarias en el archivo de configuración. Un atacante puede inyectar variables de entorno arbitrarias en el archivo .env. Esto podría llevar a sobrescrituras de configuración, Denegación de Servicio y potencial RCE. No había una solución para este problema en el momento de la publicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en GetSimpleCMS-CE (CVE-2026-27161)
Fecha de publicación:
21/02/2026
Idioma:
Español
GetSimple CMS es un sistema de gestión de contenido. Todas las versiones de GetSimple CMS dependen de archivos .htaccess para restringir el acceso a directorios sensibles como /data/ y /backups/. Si Apache AllowOverride está deshabilitado (común en entornos de alojamiento endurecidos o compartidos), estas protecciones son ignoradas silenciosamente, permitiendo a atacantes no autenticados listar y descargar archivos sensibles incluyendo authorization.xml, que contiene sales criptográficas y claves API. Este problema no tiene una solución en el momento de la publicación.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en GetSimple CMS (CVE-2026-27147)
Fecha de publicación:
21/02/2026
Idioma:
Español
GetSimple CMS es un sistema de gestión de contenido. Todas las versiones de GetSimple CMS son vulnerables a XSS a través de cargas de archivos SVG. Los usuarios autenticados pueden cargar archivos SVG a través de la funcionalidad de carga de administración, pero estos no son debidamente saneados o restringidos, lo que permite a un atacante incrustar JavaScript malicioso. Cuando se accede al archivo SVG cargado, el script se ejecuta en el navegador. En el momento de la publicación este problema sigue sin ser solucionado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en GetSimple CMS (CVE-2026-27146)
Fecha de publicación:
21/02/2026
Idioma:
Español
GetSimple CMS es un sistema de gestión de contenido. Todas las versiones de GetSimple CMS no implementan protección CSRF en el endpoint de carga de archivos de administración. Como resultado, un atacante puede crear una página web maliciosa que activa silenciosamente una solicitud de carga de archivos desde el navegador de una víctima autenticada. La solicitud es aceptada sin requerir un token CSRF o validación de origen. Esto permite a un atacante cargar archivos arbitrarios a la aplicación sin el conocimiento o consentimiento de la víctima. Para explotar esta vulnerabilidad, la víctima debe estar autenticada en GetSimple CMS (p. ej., usuario administrador) y visitar una página web controlada por el atacante. En el momento de esta publicación el problema aún no estaba resuelto.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en OpenSift (CVE-2026-27169)
Fecha de publicación:
21/02/2026
Idioma:
Español
OpenSift es una herramienta de estudio de IA que tamiza grandes conjuntos de datos utilizando búsqueda semántica e IA generativa. Las versiones 1.1.2-alpha e inferiores renderizan contenido no confiable de usuario/modelo en las superficies de la interfaz de usuario de la herramienta de chat utilizando patrones de interpolación HTML inseguros, lo que lleva a XSS. El contenido almacenado puede ejecutar JavaScript cuando se visualiza posteriormente en sesiones autenticadas. Un atacante que puede influir en el contenido almacenado de estudio/cuestionario/tarjetas didácticas podría desencadenar la ejecución de scripts en el navegador de una víctima, realizando potencialmente acciones como ese usuario en la sesión de la aplicación local. Este problema ha sido solucionado en la versión 1.1.3-alpha.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en OpenSift (CVE-2026-27170)
Fecha de publicación:
21/02/2026
Idioma:
Español
OpenSift es una herramienta de estudio de IA que tamiza grandes conjuntos de datos utilizando búsqueda semántica e IA generativa. En las versiones 1.1.2-alpha e inferiores, la ingesta de URL permite un comportamiento de obtención del lado del servidor excesivamente permisivo y puede ser forzada a solicitar objetivos inseguros. Acceso/sondeo potencial de recursos de red privados/locales desde el proceso anfitrión de OpenSift al ingerir URL controladas por el atacante. Este problema ha sido solucionado en la versión 1.1.3-alpha. Para la solución alternativa al usar excepciones de solo locales de confianza, use OPENSIFT_ALLOW_PRIVATE_URLS=true con precaución.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en Sail-codecs-xwd (CVE-2026-27168)
Fecha de publicación:
21/02/2026
Idioma:
Español
SAIL es una biblioteca multiplataforma para cargar y guardar imágenes con soporte para animación, metadatos y perfiles ICC. Todas las versiones son vulnerables a desbordamiento de búfer basado en montículo a través del uso del valor bytes_per_line por parte del analizador XWD. El valor se lee directamente del archivo como el tamaño de lectura en io->strict_read(), y nunca se compara con el tamaño real del búfer de destino. Un atacante puede proporcionar un archivo XWD con un bytes_per_line arbitrariamente grande, causando una operación de escritura masiva más allá del búfer de montículo asignado para los píxeles de la imagen. El problema no tenía una solución en el momento de la publicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/03/2026
Suscribirse a Vulnerabilidades