Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Wekan (CVE-2026-30845)
Fecha de publicación:
06/03/2026
Idioma:
Español
Wekan es una herramienta kanban de código abierto construida con Meteor. En las versiones 8.31.0 a la 8.33, la publicación compuesta del tablero en Wekan publica todos los datos de integración de un tablero sin ningún filtrado de campos, exponiendo campos sensibles, incluyendo URLs de webhook y tokens de autenticación, a cualquier suscriptor. Dado que las publicaciones del tablero son accesibles a todos los miembros del tablero independientemente de su rol (incluyendo usuarios de solo lectura y solo comentarios), e incluso a clientes DDP no autenticados para tableros públicos, cualquier usuario que pueda acceder a un tablero puede recuperar sus credenciales de webhook. Esta fuga de tokens permite a los atacantes realizar solicitudes no autenticadas a los webhooks expuestos, lo que podría desencadenar acciones no autorizadas en servicios externos conectados. Este problema ha sido solucionado en la versión 8.34.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en Wekan (CVE-2026-30844)
Fecha de publicación:
06/03/2026
Idioma:
Español
Wekan es una herramienta kanban de código abierto construida con Meteor. Las versiones 8.32 y 8.33 son vulnerables a la falsificación de petición del lado del servidor (SSRF) a través de la carga de URL de adjuntos. Durante la importación de tableros en Wekan, las URL de adjuntos de datos JSON proporcionados por el usuario son obtenidas directamente por el servidor sin ninguna validación o filtrado de URL, afectando tanto a los flujos de importación de Wekan como de Trello. Los métodos parseActivities() y parseActions() extraen URL de adjuntos controladas por el usuario, las cuales son luego pasadas directamente a Attachments.load() para su descarga sin sanitización. Esta vulnerabilidad de falsificación de petición del lado del servidor (SSRF) permite a cualquier usuario autenticado hacer que el servidor emita peticiones HTTP arbitrarias, potencialmente accediendo a servicios de red internos como puntos finales de metadatos de instancias en la nube (exponiendo credenciales IAM), bases de datos internas y paneles de administración que de otro modo serían inalcanzables desde fuera de la red. Este problema ha sido solucionado en la versión 8.34.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
11/03/2026

Vulnerabilidad en Wekan (CVE-2026-30843)
Fecha de publicación:
06/03/2026
Idioma:
Español
Wekan es una herramienta kanban de código abierto construida con Meteor. Las versiones 8.32 y 8.33 tienen un problema crítico de Referencia Directa a Objeto Insegura (IDOR) que podría permitir a usuarios no autorizados modificar campos personalizados entre tableros a través de sus puntos finales de actualización de campos personalizados, lo que podría llevar a la manipulación no autorizada de datos. El punto final PUT /api/boards/:boardId/custom-fields/:customFieldId en Wekan valida que el usuario autenticado tiene acceso al boardId especificado, pero la subsiguiente actualización de la base de datos utiliza solo el _id del campo personalizado como filtro sin confirmar que el campo realmente pertenece a ese tablero. Esto significa que un atacante que posee cualquier tablero puede modificar campos personalizados en cualquier otro tablero al proporcionar un ID de campo personalizado externo, y la misma falla existe en los puntos finales POST, PUT y DELETE para elementos desplegables bajo campos personalizados. Los ID de campo personalizados requeridos se pueden obtener exportando un tablero (lo que solo necesita acceso de lectura), ya que el JSON exportado incluye los ID de todos los componentes del tablero. La verificación de autorización se realiza contra el recurso incorrecto, permitiendo la manipulación de campos personalizados entre tableros. Este problema ha sido solucionado en la versión 8.34.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
11/03/2026

Vulnerabilidad en bellard / quickjs (CVE-2025-69654)
Fecha de publicación:
06/03/2026
Idioma:
Español
Una entrada JavaScript manipulada, ejecutada con la versión QuickJS 2025-09-13, corregida en el commit fcd33c1afa7b3028531f53cd1190a3877454f6b3 (2025-12-11), el intérprete 'qjs' utilizando la opción '-m' y un límite de memoria bajo, puede causar una condición de agotamiento de memoria seguida de un fallo de aserción en JS_FreeRuntime (list_empty(&rt->gc_obj_list)) durante la limpieza del tiempo de ejecución. Aunque el motor informa un error OOM, posteriormente aborta con SIGABRT porque la lista de objetos GC no se libera completamente. Esto resulta en una denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

CVE-2026-3653
Fecha de publicación:
06/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
06/03/2026

Vulnerabilidad en immutable-js (CVE-2026-29063)
Fecha de publicación:
06/03/2026
Idioma:
Español
Immutable.js proporciona muchas estructuras de datos inmutables persistentes. Antes de las versiones 3.8.3, 4.3.7 y 5.1.5, la contaminación de prototipos es posible en immutable a través de las APIs mergeDeep(), mergeDeepWith(), merge(), Map.toJS() y Map.toObject(). Este problema ha sido parcheado en las versiones 3.8.3, 4.3.7 y 5.1.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/04/2026

Vulnerabilidad en bellard / quickjs (CVE-2025-69653)
Fecha de publicación:
06/03/2026
Idioma:
Español
Una entrada JavaScript diseñada puede desencadenar un fallo de aserción interno en la versión de QuickJS 2025-09-13, corregido en el commit 1dbba8a88eaa40d15a8a9b70bb1a0b8fb5b552e6 (2025-12-11), en el archivo gc_decref_child en quickjs.c, cuando se ejecuta con el intérprete qjs usando la opción -m. Esto conduce a un aborto (SIGABRT) durante la recolección de basura y causa una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en GNU Binutils (CVE-2025-69652)
Fecha de publicación:
06/03/2026
Idioma:
Español
GNU Binutils hasta 2.46 readelf contiene una vulnerabilidad que conduce a una interrupción (SIGABRT) al procesar un binario ELF manipulado con información DWARF abbrev o de depuración malformada. Debido a una limpieza de estado incompleta en process_debug_info(), un estado debug_info_p inválido puede propagarse a las rutinas de análisis de atributos DWARF. Cuando ciertos atributos malformados resultan en una longitud de datos inesperada de cero, byte_get_little_endian() desencadena una interrupción fatal. No se observó evidencia de corrupción de memoria o ejecución de código; el impacto se limita a la denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en GNU Binutils (CVE-2025-69649)
Fecha de publicación:
06/03/2026
Idioma:
Español
GNU Binutils hasta la versión 2.46 readelf contiene una vulnerabilidad de desreferencia de puntero nulo al procesar un binario ELF manipulado con campos de encabezado malformados. Durante el procesamiento de reubicaciones, un puntero de sección inválido o nulo puede ser pasado a display_relocations(), lo que resulta en un fallo de segmentación (SIGSEGV) y terminación abrupta. No se observó evidencia de corrupción de memoria más allá de la desreferencia del puntero nulo, ni ninguna posibilidad de ejecución de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en GNU Binutils (CVE-2025-69650)
Fecha de publicación:
06/03/2026
Idioma:
Español
GNU Binutils hasta 2.46 readelf contiene una vulnerabilidad de doble liberación al procesar un binario ELF manipulado con datos de reubicación malformados. Durante el manejo de la reubicación GOT, dump_relocations puede retornar prematuramente sin inicializar el array all_relocations. Como resultado, process_got_section_contents() puede pasar un puntero r_symbol no inicializado a free(), lo que lleva a una doble liberación y termina el programa con SIGABRT. No se observó evidencia de corrupción de memoria explotable o ejecución de código; el impacto se limita a denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en RocketChat (CVE-2026-30833)
Fecha de publicación:
06/03/2026
Idioma:
Español
Rocket.Chat es una plataforma de comunicaciones de código abierto, segura y totalmente personalizable. Antes de las versiones 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1 y 8.2.0, existe una vulnerabilidad de inyección NoSQL en el servicio de cuentas de Rocket.Chat utilizado en el microservicio ddp-streamer que permite a atacantes no autenticados manipular consultas de MongoDB durante la autenticación. La vulnerabilidad se encuentra en el flujo de inicio de sesión basado en nombre de usuario, donde la entrada proporcionada por el usuario se incrusta directamente en un selector de consulta de MongoDB sin validación. Un atacante puede inyectar expresiones de operador de MongoDB (por ejemplo, { $regex: '.*' }) en lugar de una cadena de nombre de usuario, lo que hace que la consulta de la base de datos coincida con registros de usuario no deseados. Este problema ha sido parcheado en las versiones 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1 y 8.2.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en fastify (CVE-2026-3419)
Fecha de publicación:
06/03/2026
Idioma:
Español
Fastify acepta incorrectamente encabezados `Content-Type` malformados que contienen caracteres adicionales después del token de subtipo, en violación de la RFC 9110 §8.3.1(https://httpwg.org/specs/rfc9110.html#field.content-type). Por ejemplo, una solicitud enviada con Content-Type: application/json garbage pasa la validación y se procesa normalmente, en lugar de ser rechazada con 415 Unsupported Media Type.<br /> <br /> Cuando se utilizan analizadores de tipo de contenido basados en expresiones regulares (regex) (una característica documentada de Fastify), el valor malformado se compara con los analizadores registrados utilizando la cadena completa, incluidos los caracteres adicionales. Esto significa que una solicitud con un tipo de contenido no válido puede ser enrutada y procesada por un analizador al que nunca debería haber llegado.<br /> <br /> Impacto:<br /> Un atacante puede enviar solicitudes con encabezados Content-Type no válidos según la RFC que eluden las comprobaciones de validez, llegan a la coincidencia del analizador de tipo de contenido y son procesadas por el servidor. Las solicitudes que deberían ser rechazadas en la etapa de validación son, en cambio, manejadas como si el tipo de contenido fuera válido.<br /> <br /> Soluciones provisionales:<br /> Implementar una regla de WAF para protegerse contra esto<br /> <br /> Solución:<br /> <br /> La solución está disponible a partir de la v5.8.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026
Suscribirse a Vulnerabilidades