Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OneUptime Affected by Unsandboxed Code Execution in Probe Allows Any Project Member to Achieve RCE (CVE-2026-30887)
Fecha de publicación:
10/03/2026
Idioma:
Español
OneUptime es una solución para monitorear y gestionar servicios en línea. Antes de la versión 10.0.18, OneUptime permite a los miembros del proyecto ejecutar código Playwright/JavaScript personalizado a través de Monitores Sintéticos para probar sitios web. Sin embargo, el sistema ejecuta este código de usuario no confiable dentro del módulo vm inseguro de Node.js. Al aprovechar un escape estándar de la cadena de prototipos (this.constructor.constructor), un atacante puede eludir la sandbox, obtener acceso al objeto de proceso subyacente de Node.js y ejecutar comandos de sistema arbitrarios (RCE) en el contenedor oneuptime-probe. Además, debido a que la sonda guarda las credenciales de la base de datos/clúster en sus variables de entorno, esto conduce directamente a un compromiso completo del clúster. Esta vulnerabilidad está corregida en la versión 10.0.18.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/03/2026

Vulnerabilidad en AVideo de WWBN (CVE-2026-30885)
Fecha de publicación:
10/03/2026
Idioma:
Español
WWBN AVideo es una plataforma de video de código abierto. Antes de 25.0, el endpoint /objects/playlistsFromUser.json.php devuelve todas las listas de reproducción para cualquier usuario sin requerir autenticación o autorización. Un atacante no autenticado puede enumerar IDs de usuario y recuperar información de la lista de reproducción, incluyendo nombres de listas de reproducción, IDs de video y el estado de la lista de reproducción para cualquier usuario en la plataforma. Esta vulnerabilidad está corregida en 25.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en siyuan-note (CVE-2026-30869)
Fecha de publicación:
10/03/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Antes de la 3.5.10, una vulnerabilidad de salto de ruta en el endpoint /export permite a un atacante leer archivos arbitrarios del sistema de archivos del servidor. Al explotar secuencias de salto doblemente codificadas, un atacante puede acceder a archivos sensibles como conf/conf.json, que contiene secretos, incluyendo el token de la API, la clave de firma de cookies y el código de autenticación de acceso al espacio de trabajo. La filtración de estos secretos puede habilitar el acceso administrativo a la API del kernel de SiYuan, y en ciertos escenarios de despliegue podría potencialmente encadenarse en ejecución remota de código (RCE). Esta vulnerabilidad está corregida en la 3.5.10.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/03/2026

Vulnerabilidad en appsmithorg (CVE-2026-30862)
Fecha de publicación:
10/03/2026
Idioma:
Español
Appsmith es una plataforma para construir paneles de administración, herramientas internas y cuadros de mando. Anterior a la 1.96, existe una vulnerabilidad XSS Almacenado Crítica en el Widget de Tabla (TableWidgetV2). La causa raíz es una falta de saneamiento de HTML en el pipeline de renderizado de componentes de React, permitiendo que atributos maliciosos sean interpolados en el DOM. Aprovechando la característica 'Invitar Usuarios', un atacante con una cuenta de usuario regular (user@gmail.com) puede forzar a un Administrador del Sistema a ejecutar una llamada a la API con altos privilegios (/api/v1/admin/env), resultando en una Toma de Control Completa de la Cuenta Administrativa. Esta vulnerabilidad está corregida en la 1.96.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/03/2026

Vulnerabilidad en @powersync (CVE-2026-30870)
Fecha de publicación:
10/03/2026
Idioma:
Español
PowerSync Service es el componente del lado del servidor del motor de sincronización PowerSync. En la versión 1.20.0, al usar nuevas transmisiones de sincronización con config.edition: 3, ciertos filtros de subconsulta fueron ignorados al determinar qué datos sincronizar con los usuarios. Dependiendo de la configuración de la transmisión de sincronización, esto podría resultar en que usuarios autenticados sincronicen datos que deberían haber sido restringidos. Solo las consultas que controlan la sincronización usando subconsultas sin particionar el conjunto de resultados se ven afectadas. Esta vulnerabilidad está corregida en la 1.20.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/04/2026

Vulnerabilidad en CODESYS Installer (CVE-2026-2364)
Fecha de publicación:
10/03/2026
Idioma:
Español
Si un usuario legítimo confirma una solicitud de autoactualización o inicia una instalación de un Sistema de Desarrollo CODESYS, un atacante local con pocos privilegios puede obtener derechos elevados debido a una vulnerabilidad TOCTOU en el instalador de CODESYS.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en Kubewarden (CVE-2026-29773)
Fecha de publicación:
10/03/2026
Idioma:
Español
Kubewarden es un motor de políticas para Kubernetes. Los operadores de clúster de Kubewarden pueden otorgar permisos a los usuarios para desplegar AdmissionPolicies y AdmissionPolicyGroups con ámbito de nombre de espacio en sus Namespaces. Una de las promesas de Kubewarden es que los usuarios configurados pueden desplegar políticas con ámbito de nombre de espacio de manera segura, sin escalada de privilegios. Un atacante con permisos privilegiados de creación de &amp;#39;AdmissionPolicy&amp;#39; (lo cual no es el valor predeterminado) podría hacer uso de 3 API de devolución de llamada de host obsoletas: kubernetes/ingresses, kubernetes/namespaces, kubernetes/services. El atacante puede elaborar una política que utilice estas llamadas a la API obsoletas y les permitiría acceso de lectura a los recursos Ingresses, Namespaces y Services respectivamente.<br /> Este ataque es de solo lectura, no hay capacidad de escritura y no hay acceso a Secrets, ConfigMaps u otros tipos de recursos más allá de estos tres.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en Pocket ID (CVE-2026-28513)
Fecha de publicación:
10/03/2026
Idioma:
Español
Pocket ID es un proveedor OIDC que permite a los usuarios autenticarse con sus passkeys en sus servicios. Antes de la 2.4.0, el endpoint de token OIDC rechaza un código de autorización solo cuando tanto el ID del cliente es incorrecto como el código ha expirado. Esto permite el intercambio de código entre clientes y la reutilización de códigos expirados. Esta vulnerabilidad se ha corregido en la 2.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en pocket-id (CVE-2026-28512)
Fecha de publicación:
10/03/2026
Idioma:
Español
Pocket ID es un proveedor OIDC que permite a los usuarios autenticarse con sus passkeys en sus servicios. Desde la versión 2.0.0 hasta antes de la 2.4.0, un fallo en la validación de la URL de callback permitió que valores de redirect_uri manipulados que contenían información de usuario de URL (@) eludieran las comprobaciones legítimas del patrón de callback. Si un atacante puede engañar a un usuario para que abra un enlace de autorización malicioso, el código de autorización podría ser redirigido a un host controlado por el atacante. Esta vulnerabilidad se corrigió en la versión 2.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en InstantCMS (CVE-2026-28281)
Fecha de publicación:
10/03/2026
Idioma:
Español
InstantCMS es un sistema de gestión de contenido gratuito y de código abierto. Antes de la versión 2.18.1, InstantCMS no valida los tokens CSRF, lo que permite a los atacantes otorgar privilegios de moderador a los usuarios, ejecutar tareas programadas, mover publicaciones a la papelera y aceptar solicitudes de amistad en nombre del usuario. Esta vulnerabilidad está corregida en la versión 2.18.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en Fujitsu Limited (CVE-2026-28267)
Fecha de publicación:
10/03/2026
Idioma:
Español
Múltiples productos i-????? están configurados con ajustes de permisos de acceso a archivos incorrectos. Los archivos pueden ser creados o sobrescritos en el directorio del sistema o en el directorio de copia de seguridad por un usuario no administrativo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP Business Warehouse (Service API) (CVE-2026-27686)
Fecha de publicación:
10/03/2026
Idioma:
Español
Debido a una falta de comprobación de autorización en SAP Business Warehouse (API de servicio), un atacante autenticado podría realizar acciones no autorizadas a través de un módulo de función RFC afectado. La explotación exitosa podría permitir cambios no autorizados en la configuración y el control, interrumpiendo potencialmente el procesamiento de solicitudes y causando denegación de servicio. Esto resulta en un bajo impacto en la integridad y un alto impacto en la disponibilidad, mientras que la confidencialidad no se ve afectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026
Suscribirse a Vulnerabilidades