Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Malwarebytes AdwCleaner (CVE-2025-67905)
Fecha de publicación:
17/02/2026
Idioma:
Español
Malwarebytes AdwCleaner anterior a la v.8.7.0 se ejecuta como Administrador y realiza una operación de eliminación de archivo de registro insegura en la que la ubicación de destino es controlable por el usuario, lo que permite a un usuario no administrador escalar privilegios a SYSTEM a través de un enlace simbólico, un problema relacionado con CVE-2023-28892. Para explotar esto, un atacante debe crear un archivo en una ruta de carpeta determinada e interceptar el flujo de eliminación del archivo de registro de la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en phpgurukul Gym Management System (CVE-2024-55271)
Fecha de publicación:
17/02/2026
Idioma:
Español
Una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) ha sido identificada en phpgurukul Gym Management System 1.0. Este problema está presente en la funcionalidad de actualización de perfil del Panel de Usuario, específicamente en el endpoint /profile.php.
Gravedad CVSS v3.1: BAJA
Última modificación:
18/02/2026

Vulnerabilidad en 777VR1 de Beetel (CVE-2026-2617)
Fecha de publicación:
17/02/2026
Idioma:
Español
Se encontró una vulnerabilidad en Beetel 777VR1 hasta 01.00.09. Esto afecta una función desconocida del componente Servicio Telnet/Servicio SSH. La manipulación resulta en una inicialización predeterminada insegura de recurso. El ataque solo puede realizarse desde la red local. El exploit ha sido hecho público y podría ser usado. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en plantillas Freemarker de Datart (CVE-2025-70830)
Fecha de publicación:
17/02/2026
Idioma:
Español
Una vulnerabilidad de Inyección de Plantillas del Lado del Servidor (SSTI) en el motor de plantillas Freemarker de Datart v1.0.0-rc.3 permite a atacantes autenticados ejecutar código arbitrario mediante la inyección de sintaxis de plantilla Freemarker manipulada en el campo de script SQL.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2026

Vulnerabilidad en jizhicms (CVE-2025-70397)
Fecha de publicación:
17/02/2026
Idioma:
Español
jizhicms 2.5.6 es vulnerable a inyección SQL en Article/deleteAll y Extmolds/deleteAll a través del parámetro data.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en Datart (CVE-2025-70828)
Fecha de publicación:
17/02/2026
Idioma:
Español
Un problema en Datart v1.0.0-rc.3 permite a los atacantes ejecutar código arbitrario a través del parámetro url en la configuración JDBC.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en Guardian Gryphon (CVE-2025-65753)
Fecha de publicación:
17/02/2026
Idioma:
Español
Un fallo en el mecanismo de certificación TLS de Guardian Gryphon v01.06.0006.22 permite a los atacantes ejecutar comandos como root.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en Beetel 777VR1 (CVE-2026-2616)
Fecha de publicación:
17/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Beetel 777VR1 hasta la versión 01.00.09. El elemento afectado es una función desconocida del componente Interfaz de Gestión Web. La manipulación conduce a credenciales codificadas de forma rígida. El ataque necesita ser iniciado dentro de la red local. El exploit ha sido divulgado al público y puede ser usado. Es aconsejable modificar los ajustes de configuración. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en OpenS100 de OpenS100 Project (CVE-2026-22208)
Fecha de publicación:
17/02/2026
Idioma:
Español
OpenS100 (el visor S-100 de implementación de referencia) anterior al commit 753cf29 contiene una vulnerabilidad de ejecución remota de código a través de un intérprete Lua sin restricciones. El Motor de Representación inicializa Lua usando luaL_openlibs() sin sandboxing ni restricciones de capacidad, exponiendo bibliotecas estándar como 'os' e 'io' a catálogos de representación no confiables. Un atacante puede proporcionar un catálogo de representación S-100 malicioso que contiene scripts Lua que ejecutan comandos arbitrarios con los privilegios del proceso OpenS100 cuando un usuario importa el catálogo y carga una carta.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
18/02/2026

Vulnerabilidad en Datart (CVE-2025-70829)
Fecha de publicación:
17/02/2026
Idioma:
Español
Una vulnerabilidad de exposición de información en Datart v1.0.0-rc.3 permite a atacantes autenticados acceder a datos sensibles a través de una cadena de conexión JDBC H2 personalizada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2026

Vulnerabilidad en Smartypants SP Project & Document Manager (CVE-2024-31118)
Fecha de publicación:
17/02/2026
Idioma:
Español
Vulnerabilidad de autorización faltante en Smartypants SP Project & Document Manager permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a SP Project & Document Manager: desde n/a hasta 4.70.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2026

Vulnerabilidad en Paul (CVE-2022-41650)
Fecha de publicación:
17/02/2026
Idioma:
Español
Vulnerabilidad de falta de autorización en Paul Custom Content by Country (by Shield Security) custom-content-by-country. Este problema afecta a Custom Content by Country (by Shield Security): desde n/a hasta 3.1.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2026
Suscribirse a Vulnerabilidades