// foco en vulnerabilidades
Cada prueba que ejecuta FixVibe,
explicada.
164+ clases de vulnerabilidades incluidas en FixVibe. Cada entrada ejecuta hasta 35 sub-pruebas por escaneo y desglosa cómo funciona el bug, qué obtiene un atacante, cómo lo probamos y qué hace falta para defenderse.
01 / 07
HTTP y superficie
Atributos de cookie de sesión
HttpOnly, Secure, SameSite — tres flags que convierten una cookie de sesión en algo difícil de robar.
Leer el spotlight →
Cabeceras de seguridad HTTP
Las cabeceras son defensa gratis — la mayoría de apps todavía se publican sin ellas.
Leer el spotlight →
Configuración TLS
Suites de cifrado obsoletas más HSTS ausente equivalen a un wifi hostil de distancia del secuestro de sesión.
Leer el spotlight →
Vercel Deployment Protection
Generated deployment URLs should not become public staging doors.
Leer el spotlight →
02 / 07
Secretos
Patrones de secretos hard-coded
Claves Stripe, credenciales AWS, tokens OpenAI — el pattern matching atrapa los errores fáciles.
Leer el spotlight →
Secretos en bundles JavaScript
Si se envió en tu bundle del cliente, no es un secreto: es una publicación.
Leer el spotlight →
Integridad JWT (confusión alg, secretos débiles)
Si tu verificador de JWT confía en la cabecera del propio token, creerá lo que el atacante escriba.
Leer el spotlight →
Tokens en almacenamiento del navegador
localStorage es legible por JavaScript. Los tokens de auth ahí guardados son robables por XSS por diseño.
Leer el spotlight →
Source maps expuestos
Si tus archivos .map son públicos, el atacante está leyendo tu TypeScript.
Leer el spotlight →
Filtración de información en JavaScript
Hosts internos, banners de versión, comentarios TODO — pequeñas filtraciones suman un mapa de tu stack.
Leer el spotlight →
03 / 07
Backend-as-a-Service
Reglas de seguridad de Firebase
`allow read, write: if true` es la base de datos en producción de alguien ahora mismo.
Leer el spotlight →
Row-Level Security de Supabase
Sin RLS en cada tabla pública, tu clave anon es licencia para leer cualquier cosa.
Leer el spotlight →
Configuración de Clerk y Auth0
Los proveedores de identidad filtran más de lo debido cuando los valores por defecto no se ajustan.
Leer el spotlight →
Supabase Storage and API Posture
Public buckets and anon-listable objects are where BaaS data leaks start.
Leer el spotlight →
04 / 07
DNS
Netmaker DNS Key Authorization Bypass
A VPN control-plane DNS API should not trust a legacy default key.
Leer el spotlight →
Toma de control de subdominio
Un CNAME apuntando a un recurso cloud sin reclamar es una invitación a alojar phishing en tu dominio.
Leer el spotlight →
SPF / DKIM / DMARC
Sin estos tres registros, cualquiera puede enviar correo haciéndose pasar por ti.
Leer el spotlight →
05 / 07
Descubrimiento
Arcserve UDP Heap Overflow Advisory
Backup management consoles should not expose affected UDP versions.
Leer el spotlight →
Schneider Modicon M221 Firmware Advisory
PLC firmware evidence should drive patch and segmentation review, not reboot or authentication replay tests.
Leer el spotlight →
Cruce con CVE
Versión detectada + base de datos pública de CVE = una lista de ataques ya documentados.
Leer el spotlight →
Endpoints de debug y admin
/debug, /admin, /server-status — rutas que nunca deberían ser alcanzables desde internet.
Leer el spotlight →
Archivos y directorios de respaldo expuestos
.env, .git, .DS_Store, backup.sql — archivos que nunca deberían ser públicos lo son por accidente.
Leer el spotlight →
Rockwell MicroLogix 1100 DoS Advisory
An exposed PLC fingerprint is an operations risk, not something to crash-test.
Leer el spotlight →
SPIP Template RCE Version Exposure
Public SPIP version banners can reveal an RCE-class patch gap.
Leer el spotlight →
Checking Apache ActiveMQ Artemis for CVE-2023-50780
Checking Apache ActiveMQ Artemis for CVE-2023-50780
Leer el spotlight →
Checking Apache Airflow for CVE-2024-45498
Checking Apache Airflow for CVE-2024-45498
Leer el spotlight →
Checking Apache Tomcat for CVE-2020-11996
Checking Apache Tomcat for CVE-2020-11996
Leer el spotlight →
Checking Claude Code GitHub Action workflow permissions
Checking Claude Code GitHub Action workflow permissions
Leer el spotlight →
Checking codexui-android for token-stealing package versions
Checking codexui-android for token-stealing package versions
Leer el spotlight →
Checking cordova-plugin-inappbrowser for CVE-2019-0219
Checking cordova-plugin-inappbrowser for CVE-2019-0219
Leer el spotlight →
Checking DICOM files for executable preambles
Checking DICOM files for executable preambles
Leer el spotlight →
Checking Django for CVE-2011-0696
Checking Django for CVE-2011-0696
Leer el spotlight →
Checking Drupal Core for CVE-2026-9082
Checking Drupal Core for CVE-2026-9082
Leer el spotlight →
Checking easy-day-js for Mastra npm incident package evidence
Checking easy-day-js for Mastra npm incident package evidence
Leer el spotlight →
Checking Keras for CVE-2025-1550
Checking Keras for CVE-2025-1550
Leer el spotlight →
Checking Langflow CORS exposure for CVE-2025-34291
Checking Langflow CORS exposure for CVE-2025-34291
Leer el spotlight →
Checking Log4j 1.2 JDBCAppender for CVE-2022-23305
Checking Log4j 1.2 JDBCAppender for CVE-2022-23305
Leer el spotlight →
Checking MindsDB version exposure for CVE-2026-27483
Checking MindsDB version exposure for CVE-2026-27483
Leer el spotlight →
Checking MISP STIX import source for CVE-2018-19908
Checking MISP STIX import source for CVE-2018-19908
Leer el spotlight →
Checking Moby/Docker Go modules for CVE-2026-34040
Checking Moby/Docker Go modules for CVE-2026-34040
Leer el spotlight →
Checking NGINX rewrite configurations for CVE-2026-42945
Checking NGINX rewrite configurations for CVE-2026-42945
Leer el spotlight →
Checking NiceGUI upload source for CVE-2026-25732
Checking NiceGUI upload source for CVE-2026-25732
Leer el spotlight →
Checking Nokogiri for CVE-2019-18197
Checking Nokogiri for CVE-2019-18197
Leer el spotlight →
Checking npm lockfiles for known typosquat package versions
Checking npm lockfiles for known typosquat package versions
Leer el spotlight →
Checking ONNX for CVE-2024-5187
Checking ONNX for CVE-2024-5187
Leer el spotlight →
Checking Paramiko for CVE-2018-7750
Checking Paramiko for CVE-2018-7750
Leer el spotlight →
Checking proxy npm package for CVE-2023-2968
Checking proxy npm package for CVE-2023-2968
Leer el spotlight →
Checking Spring Data Commons and XMLBeam for CVE-2018-1259
Checking Spring Data Commons and XMLBeam for CVE-2018-1259
Leer el spotlight →
Checking SQLitePCLRaw native SQLite packages for CVE-2025-6965
Checking SQLitePCLRaw native SQLite packages for CVE-2025-6965
Leer el spotlight →
Checking vLLM for CVE-2024-9053
Checking vLLM for CVE-2024-9053
Leer el spotlight →
Checking WordPress REST API user exposure
Checking WordPress REST API user exposure
Leer el spotlight →
Checking YOURLS for CVE-2019-14537
Checking YOURLS for CVE-2019-14537
Leer el spotlight →
Postura de origen y proxy de Cloudflare
Si tu IP de origen es descubrible, el WAF de Cloudflare se puede esquivar.
Leer el spotlight →
Introspection de GraphQL expuesta
Introspection en producción le entrega al atacante todo tu sistema de tipos.
Leer el spotlight →
Cruce con threat intel
Spamhaus DBL, URLhaus — la reputación de tu dominio vista desde fuera.
Leer el spotlight →
Documentación de API expuesta
/swagger.json, /openapi.json, /docs — mapas de API públicos para ti y para el atacante.
Leer el spotlight →
Exposición específica de Netlify
URLs de deploy preview de Netlify, cabeceras x-nf-*, errores en _redirects.
Leer el spotlight →
Marcadores de cumplimiento de privacidad y cookies
Páginas requeridas por GDPR — presentes y enlazadas, o te arriesgas a una denuncia.
Leer el spotlight →
Fingerprinting de tecnología
Conocer tu stack es la mitad del reconocimiento — frameworks desactualizados completan la otra mitad.
Leer el spotlight →
Exposición específica de Vercel
_next/static, cabeceras x-vercel-*, URLs de preview — peculiaridades de Vercel que filtran más de lo debido.
Leer el spotlight →
06 / 07
Sondeos activos
AVideo Command Injection Advisory
An outdated AVideo Composer dependency can expose video-link import paths to command execution risk.
Leer el spotlight →
Fugas de datos cross-tenant
SaaS multi-tenant sin enforcement de tenant ID filtra datos de clientes entre organizaciones.
Leer el spotlight →
GeniXCMS Author SQL Injection Exposure
A legacy CMS author filter should not turn one parameter into SQL syntax.
Leer el spotlight →
JWT alg=none Acceptance
A decoded token is not an authenticated identity.
Leer el spotlight →
MagicMirror /cors SSRF Exposure
A smart-mirror helper endpoint should not become a network proxy.
Leer el spotlight →
Moxa NPort Firmware Advisory
A public device-server firmware banner should drive an upgrade, not a crash test.
Leer el spotlight →
Inyección de comandos del SO
Cuando la entrada del usuario forma parte de un comando shell, el shell ejecuta lo que el atacante escriba.
Leer el spotlight →
rclone RC Authentication Exposure
A public rclone Remote Control API should not answer unauthenticated fsinfo requests.
Leer el spotlight →
Inyección de Plantillas en Servidor (SSTI)
Si el motor de plantillas trata la entrada del usuario como plantilla, el servidor la trata como código.
Leer el spotlight →
SiteOmat BOS Authentication Advisory
Fuel-station management software needs version and exposure review, not password guessing.
Leer el spotlight →
SiteOmat CGI Buffer Overflow Advisory
Fuel-station controller CGI risk needs patch and exposure review, not exploit probes.
Leer el spotlight →
SiteOmat Login SQL Injection Advisory
Fuel-station login risk needs patch and exposure review, not authentication-bypass probes.
Leer el spotlight →
Inyección SQL
Cuando la entrada del usuario forma parte de una consulta, la base de datos deja de ser tuya.
Leer el spotlight →
Defectos en el flujo de auth
Login, registro y recuperación de contraseña — ahí es donde realmente ocurren la mayoría de las tomas de cuenta.
Leer el spotlight →
SSRF ciego (out-of-band)
Si el servidor descarga URLs proporcionadas por el usuario, el usuario puede hacer que descargue servicios internos.
Leer el spotlight →
CKAN DataStore SQL Authorization Bypass
Public DataStore SQL access can turn open data APIs into private data exposure.
Leer el spotlight →
Mala configuración de CORS
Access-Control-Allow-Origin permisivo más credenciales significa que tu API es la API de todos.
Leer el spotlight →
XSS basado en DOM vía fragmento URL
Las SPAs modernas leen location.hash y lo escriben en el DOM — los payloads del atacante van con ello.
Leer el spotlight →
Validación de subida de archivos
Los archivos subidos por usuarios son bytes arbitrarios — aceptarlos como 'imágenes' sin verificar es pedir RCE.
Leer el spotlight →
FUXA Hardcoded JWT Fallback Secret
Default token-signing secrets can turn an HMI login into a weak boundary.
Leer el spotlight →
GL.iNet GL-MT3000 Firmware Advisory
A router firmware match should drive an upgrade, not a command-execution test.
Leer el spotlight →
Bombas de profundidad y bypass de batch en GraphQL
La flexibilidad de GraphQL es también su vulnerabilidad — bombas de profundidad, alias batching y filtración de sugerencias.
Leer el spotlight →
HTTP Request Smuggling
El proxy frontal y el backend no se ponen de acuerdo en dónde termina una petición — el atacante cabalga la costura.
Leer el spotlight →
IDOR / BOLA
Si tu API confía en que el cliente envíe el ID correcto, el cliente puede enviar cualquier ID.
Leer el spotlight →
IIS TRACK Method Information Disclosure
Legacy HTTP method echo behavior should be disabled before it can expose request headers.
Leer el spotlight →
Liferay Portal Template RCE Advisory
Legacy Liferay Portal version evidence should trigger patch verification.
Leer el spotlight →
Inyección de prompts en LLM
Si tu función de IA confía en la entrada del usuario como instrucción, el usuario puede reescribir el prompt del sistema.
Leer el spotlight →
Inyección de operadores NoSQL
Operadores estilo MongoDB en JSON controlado por el usuario convierten tu consulta en un comodín.
Leer el spotlight →
Cross-Site Scripting Reflejado (XSS)
El secuestro silencioso: cuando un solo parámetro sin sanear ejecuta código del atacante en los navegadores de tus visitantes.
Leer el spotlight →
Rockwell MicroLogix 1100 Authentication Advisory
Firmware evidence should drive an update and exposure review, not password-guessing tests.
Leer el spotlight →
Entidad Externa XML (XXE)
Si tu parser XML resuelve entidades externas, tu servidor lee archivos para el atacante.
Leer el spotlight →
ZoneMinder Directory Listing Exposure
A camera management UI should not publish its web root index.
Leer el spotlight →
Enumeración de cuentas
Si tu login responde distinto cuando el email existe, los atacantes pueden construir una lista de clientes.
Leer el spotlight →
Checking gemini-mcp-tool for CVE-2026-0755
Checking gemini-mcp-tool for CVE-2026-0755
Leer el spotlight →
Checking Label Studio upload-example XSS exposure
Checking Label Studio upload-example XSS exposure
Leer el spotlight →
Checking Langflow version exposure for CVE-2026-33017
Checking Langflow version exposure for CVE-2026-33017
Leer el spotlight →
Checking PowerLogic EGX exposure for CVE-2021-22765/CVE-2021-22767/CVE-2021-22768
Checking PowerLogic EGX exposure for CVE-2021-22765/CVE-2021-22767/CVE-2021-22768
Leer el spotlight →
Checking TLS endpoints for RC4 support
Checking TLS endpoints for RC4 support
Leer el spotlight →
Checking TLS endpoints for Sweet32 DES/3DES support
Checking TLS endpoints for Sweet32 DES/3DES support
Leer el spotlight →
Confirming Glances REST API unauthenticated exposure
Confirming Glances REST API unauthenticated exposure
Leer el spotlight →
Confirming Next.js middleware bypass exposure
Confirming Next.js middleware bypass exposure
Leer el spotlight →
Confirming SillyTavern SearXNG external-fetch SSRF exposure
Confirming SillyTavern SearXNG external-fetch SSRF exposure
Leer el spotlight →
Confirming TMT Lockcell login SQL injection exposure
Confirming TMT Lockcell login SQL injection exposure
Leer el spotlight →
CRLF / División de respuesta
Si la entrada del usuario llega a una cabecera de respuesta, los saltos de línea le dejan escribir sus propias cabeceras.
Leer el spotlight →
Protección CSRF
Si tus endpoints que cambian estado no requieren un token CSRF, sitios de terceros pueden actuar como tus usuarios.
Leer el spotlight →
Falta de rate limiting
Sin rate limits en endpoints de auth, el atacante puede hacer credential stuffing a velocidad de línea.
Leer el spotlight →
Next.js Header Configuration Drift
Headers set on `/` do not always protect nested routes.
Leer el spotlight →
Open Redirect
Tu /redirect?url=… que no valida el destino es un kit de phishing.
Leer el spotlight →
SPIP valider_xml XSS Exposure
A legacy SPIP utility page should not reflect URL input into HTML.
Leer el spotlight →
07 / 07
Código fuente
deephas Prototype-Pollution Advisory
A vulnerable deephas dependency can put deep-path object handling on a prototype-pollution path.
Leer el spotlight →
Ghost Content API SQL Injection Advisory
A vulnerable Ghost dependency can put public content APIs on the database boundary.
Leer el spotlight →
LibreNMS Command Injection Advisory
A vulnerable monitoring stack can become an execution path inside the network.
Leer el spotlight →
LiteLLM SQL Injection Advisory
A vulnerable LiteLLM Proxy version can turn API-key verification into database exposure.
Leer el spotlight →
NLTK Zip Slip Code Execution Advisory
A vulnerable NLTK downloader can turn compromised package archives into filesystem writes and code-execution risk.
Leer el spotlight →
openDCIM Command Injection Source Advisory
A database-controlled Graphviz path should not become a shell command.
Leer el spotlight →
TanStack ArkType Adapter Malware Advisory
Known malicious npm package versions can put CI and developer secrets at install-time risk.
Leer el spotlight →
vm2 Sandbox Breakout Advisory
A vulnerable JavaScript sandbox dependency can put untrusted-code boundaries at risk.
Leer el spotlight →
Apache Tomcat Coyote Resource-Shutdown Advisory
An affected Tomcat HTTP/2 runtime can turn reset behavior into resource exhaustion.
Leer el spotlight →
Apache Tomcat EncryptInterceptor Advisory
Exact affected Tomcat releases need an upgrade before cluster encryption assumptions are trusted.
Leer el spotlight →
Apache Tomcat h2c Request Mix-Up Advisory
Affected Tomcat h2c handling can put request data on the wrong response path.
Leer el spotlight →
Apache Tomcat Session-Persistence Advisory
Affected Tomcat runtimes become riskier when FileStore session persistence is enabled.
Leer el spotlight →
Committed AI-Generated Secrets
AI snippets should not ship provider keys into git.
Leer el spotlight →
Compromised codfish GitHub Action
Release workflows should not keep pointing at compromised Action refs.
Leer el spotlight →
electerm Install-Script Command Injection Advisory
A vulnerable terminal-client dependency can put build or developer hosts at install-time risk.
Leer el spotlight →
electerm Unauthorized Command Execution Advisory
A stale electerm package can matter when the vulnerable service is packaged and running.
Leer el spotlight →
Gogs Directory Traversal Dependency Advisory
An affected Gogs runtime can put file-upload path handling on a traversal boundary.
Leer el spotlight →
Gradio Windows Python Path Traversal Advisory
A vulnerable Gradio dependency becomes a stronger signal when repo config points to Windows with Python 3.13+.
Leer el spotlight →
Mbed TLS Buffer-Overflow Advisory
Affected Mbed TLS 3.x source evidence deserves an upgrade, not exploit reproduction.
Leer el spotlight →
Mbed TLS Double-Free Advisory
Legacy Mbed TLS version evidence deserves branch-aware remediation.
Leer el spotlight →
Microsoft ATL MS09-035 Source Advisory
Legacy ATL build metadata deserves rebuild proof, not exploit reproduction.
Leer el spotlight →
OpenCms XXE Information-Disclosure Advisory
A vulnerable OpenCms dependency can put XML-processing routes on a file-read boundary.
Leer el spotlight →
OpenSSL CMS Message-Parsing Advisory
Affected OpenSSL branch evidence deserves a branch-aware runtime upgrade.
Leer el spotlight →
PDF.js JavaScript Execution Advisory
A vulnerable PDF viewer can turn a malicious document into script execution.
Leer el spotlight →
PickleScan ZIP CRC Bypass Advisory
A vulnerable PickleScan dependency can miss malicious model archives when scans fail open.
Leer el spotlight →
pyLoad /flashgot RCE Advisory
A vulnerable pyLoad dependency is patch-triage evidence, not proof of live RCE.
Leer el spotlight →
Patrones de código fuente arriesgados
eval(), dangerouslySetInnerHTML, secretos hard-coded — los patrones que SAST lleva 25 años atrapando.
Leer el spotlight →
SaltStack Salt Directory Traversal Advisory
A vulnerable Salt package can weaken Salt master authentication boundaries.
Leer el spotlight →
SAP Cloud SDK for AI Python Advisory
A vulnerable SAP Python SDK dependency is patch-triage evidence, not proof of live command execution.
Leer el spotlight →
Spring Data Commons Resource-Exhaustion Advisory
Affected Spring Data Commons dependencies can put property-path parsing on a DoS path.
Leer el spotlight →
Supabase RLS in Migrations
A public table without RLS is a future data leak.
Leer el spotlight →
veraPDF XSLT Injection Dependency Advisory
Affected veraPDF policy-file processing can put XSLT execution boundaries at risk.
Leer el spotlight →
Dependencias vulnerables
Tu package-lock.json incluye miles de paquetes. Algunos tienen CVEs conocidos.
Leer el spotlight →
Verificación de firmas de webhook
Si tu handler de webhook no verifica la firma, cualquiera puede falsificar eventos.
Leer el spotlight →
ws Excessive-Header DoS Advisory
Affected ws server runtimes can crash when upgrade requests carry too many headers.
Leer el spotlight →
AI-Generated Code Guardrails
Fast AI-assisted changes need repo-level security rails.
Leer el spotlight →
Checking @andrei-tatar/nora-firebase-common for CVE-2024-30564
Checking @andrei-tatar/nora-firebase-common for CVE-2024-30564
Leer el spotlight →
Checking Apache ActiveMQ Artemis for CVE-2026-27446
Checking Apache ActiveMQ Artemis for CVE-2026-27446
Leer el spotlight →
Checking Apache Spark for CVE-2022-33891
Checking Apache Spark for CVE-2022-33891
Leer el spotlight →
Checking Cargo files for the malicious onering crate
Checking Cargo files for the malicious onering crate
Leer el spotlight →
Checking http4k-format-xml for CVE-2024-55875
Checking http4k-format-xml for CVE-2024-55875
Leer el spotlight →
Checking kill-port-process for CVE-2019-15609
Checking kill-port-process for CVE-2019-15609
Leer el spotlight →
Checking Log4j 1.2 JMSAppender for CVE-2021-4104
Checking Log4j 1.2 JMSAppender for CVE-2021-4104
Leer el spotlight →
Checking Note Mark backend for CVE-2026-44522
Checking Note Mark backend for CVE-2026-44522
Leer el spotlight →
Checking npm package versions and binding.gyp for the Phantom Gyp worm
Checking npm package versions and binding.gyp for the Phantom Gyp worm
Leer el spotlight →
Checking OpenSSL PowerPC builds for CVE-2023-6129
Checking OpenSSL PowerPC builds for CVE-2023-6129
Leer el spotlight →
Checking Perl GD for CVE-2026-11526
Checking Perl GD for CVE-2026-11526
Leer el spotlight →
Checking Red Hat npm package versions for the worm campaign
Checking Red Hat npm package versions for the worm campaign
Leer el spotlight →
Checking WebdriverIO BrowserStack service for CVE-2026-25244
Checking WebdriverIO BrowserStack service for CVE-2026-25244
Leer el spotlight →
Kubernetes Service ExternalIPs Advisory
ExternalIPs in Service manifests deserve RBAC and admission-policy review.
Leer el spotlight →
Mbed TLS Certificate-Validation Advisory
Affected Mbed TLS 3.x evidence deserves upgrade and client-auth review.
Leer el spotlight →
OpenSSL TLSv1.3 Session Memory-Growth Advisory
A vulnerable OpenSSL runtime plus no-ticket TLSv1.3 session handling can create DoS risk.
Leer el spotlight →
Oracle Java SE / GraalVM Runtime Advisory
Affected Oracle runtime metadata deserves an update, not DoS reproduction.
Leer el spotlight →
Higiene de seguridad del repositorio
Protección de ramas, action pinning, higiene de secretos — cómo manejas tu repo importa más que el código.
Leer el spotlight →
Reviewing repo code against web app risk patterns
Reviewing repo code against web app risk patterns
Leer el spotlight →
