Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-13973
Fecha de publicación:
14/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The StickEasy Protected Contact Form plugin for WordPress is vulnerable to Sensitive Information Disclosure in all versions up to, and including, 1.0.2. The plugin stores spam detection logs at a predictable publicly accessible location (wp-content/uploads/stickeasy-protected-contact-form/spcf-log.txt). This makes it possible for unauthenticated attackers to download the log file and access sensitive information including visitor IP addresses, email addresses, and comment snippets from contact form submissions that were flagged as spam.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2026

CVE-2025-14067
Fecha de publicación:
14/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Easy Form Builder plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on multiple AJAX actions in all versions up to, and including, 3.9.3. This makes it possible for authenticated attackers, with Subscriber-level access and above, to retrieve sensitive form response data, including messages, admin replies, and user information due to a logic error in the authorization check that uses AND (&&) instead of OR (||).
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2026

CVE-2025-14608
Fecha de publicación:
14/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The WP Last Modified Info plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 1.9.5. This is due to the plugin not validating a user's access to a post before modifying its metadata in the 'bulk_save' AJAX action. This makes it possible for authenticated attackers, with Author-level access and above, to update the last modified metadata and lock the modification date of arbitrary posts, including those created by Administrators via the 'post_ids' parameter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2026

Vulnerabilidad en Caido (CVE-2026-24853)
Fecha de publicación:
13/02/2026
Idioma:
Español
Caido es un kit de herramientas de auditoría de seguridad web. Antes de la versión 0.55.0, Caido bloquea los dominios no incluidos en la lista blanca para acceder a través del puerto 8080, y muestra 'Host/IP no tiene permiso para conectarse a Caido' en todos los puntos finales. Pero esto es eludible inyectando una cabecera X-Forwarded-Host: 127.0.0.1:8080. Esta vulnerabilidad está corregida en la versión 0.55.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en PixelYourSite PRO para WordPress (CVE-2026-1844)
Fecha de publicación:
13/02/2026
Idioma:
Español
El plugin PixelYourSite PRO para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'pysTrafficSource' y el parámetro 'pys_landing_page' en todas las versiones hasta la 12.4.0.2, inclusive, debido a una sanitización insuficiente de la entrada y un escape de la salida inadecuado. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Known (CVE-2026-26273)
Fecha de publicación:
13/02/2026
Idioma:
Español
Known es una plataforma de publicación social. Antes de 1.6.3, existe una vulnerabilidad crítica de autenticación rota en Known 1.6.2 y versiones anteriores. La aplicación filtra el token de restablecimiento de contraseña dentro de un campo de entrada HTML oculto en la página de restablecimiento de contraseña. Esto permite a cualquier atacante no autenticado recuperar el token de restablecimiento para cualquier usuario simplemente consultando el correo electrónico del usuario, lo que lleva a una toma de control total de la cuenta (ATO) sin requerir acceso a la bandeja de entrada de correo electrónico de la víctima. Esta vulnerabilidad está corregida en 1.6.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2026

Vulnerabilidad en la Máquina Virtual TON (TVM) (CVE-2025-70954)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de desreferencia de puntero nulo existe en la Máquina Virtual TON (TVM) dentro de la cadena de bloques TON antes de la v2025.06. El problema se encuentra en la lógica de ejecución de la instrucción INMSGPARAM, donde el programa no valida si un puntero específico es nulo antes de acceder a él. Al enviar una transacción maliciosa o un contrato inteligente, un atacante puede desencadenar esta desreferencia de puntero nulo, provocando que el proceso del nodo validador falle (fallo de segmentación). Esto resulta en una Denegación de Servicio (DoS) que afecta la disponibilidad de toda la red de cadena de bloques.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en la Máquina Virtual TON (TVM) (CVE-2025-70955)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de desbordamiento de pila fue descubierta en la Máquina Virtual TON (TVM) antes de la v2024.10. La vulnerabilidad se origina en el manejo inadecuado de las instrucciones de salto de vmstate y de continuación, que permiten llamadas de cola dinámicas continuas. Un atacante puede explotar esto al crear un contrato inteligente con lógica de salto profundamente anidada. Incluso dentro de los límites de gas permitidos, esta ejecución anidada agota el espacio de pila del proceso anfitrión, provocando que el nodo validador falle. Esto provoca una denegación de servicio (DoS) para la red de cadena de bloques TON.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en la Máquina Virtual TON (TVM) (CVE-2025-70956)
Fecha de publicación:
13/02/2026
Idioma:
Español
Se descubrió una vulnerabilidad de contaminación de estado en la Máquina Virtual TON (TVM) antes de la v2025.04. El problema existe en la lógica de la instrucción RUNVM (VmState::run_child_vm), que es responsable de inicializar máquinas virtuales secundarias. La operación mueve recursos críticos (específicamente librerías y registro) del estado padre a un nuevo estado secundario de manera no atómica. Si ocurre una excepción de Out-of-Gas (OOG) después de que los recursos son movidos pero antes de que la transición de estado sea finalizada, la VM padre retiene un estado corrupto donde estos recursos están vacíos/inválidos. Debido a que RUNVM soporta aislamiento de gas, la VM padre continúa la ejecución con este estado corrupto, lo que lleva a un comportamiento inesperado o denegación de servicio dentro del contexto del contrato.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en TON Lite Server (CVE-2025-70957)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de denegación de servicio (DoS) fue descubierta en el TON Lite Server antes de la v2024.09. La vulnerabilidad surge del manejo de argumentos externos pasados a 'get methods' ejecutados localmente. Un atacante puede inyectar un objeto Continuation construido (un tipo interno de TVM) que normalmente está restringido dentro de la VM. Cuando la TVM ejecuta esta continuación maliciosa, consume recursos excesivos de CPU mientras acumula costos de gas virtual desproporcionadamente bajos. Esta computación 'gratuita' permite a un atacante monopolizar la potencia de procesamiento del Lite Server, reduciendo significativamente su rendimiento y causando una denegación de servicio para usuarios legítimos que actúan a través de la pasarela.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en PixelYourSite – Your smart PIXEL (CVE-2026-1841)
Fecha de publicación:
13/02/2026
Idioma:
Español
El plugin PixelYourSite – Your smart PIXEL (TAG) & API Manager para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro 'pysTrafficSource' y el parámetro 'pys_landing_page' en todas las versiones hasta la 11.2.0, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Advanced Popup Creator (CVE-2025-69633)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de inyección SQL en el módulo Advanced Popup Creator (advancedpopupcreator) para PrestaShop 1.1.26 hasta 1.2.6 (Corregido en la versión 1.2.7) permite a atacantes remotos no autenticados ejecutar consultas SQL arbitrarias a través del parámetro fromController en el controlador de popup. El parámetro se pasa sin sanear a las consultas SQL en classes/AdvancedPopup.php (funciones getPopups() y updateVisits()).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2026
Suscribirse a Vulnerabilidades