Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-68963

Fecha de publicación:

14/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** Man-in-the-middle attack vulnerability in the Clone module.<br /> Impact: Successful exploitation of this vulnerability may affect service confidentiality.

Gravedad CVSS v3.1: MEDIA

Última modificación:

14/01/2026

CVE-2025-68957

Fecha de publicación:

14/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** Multi-thread race condition vulnerability in the card framework module.<br /> Impact: Successful exploitation of this vulnerability may affect availability.

Gravedad CVSS v3.1: ALTA

Última modificación:

14/01/2026

CVE-2025-12053

Fecha de publicación:

14/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** The drivers in the tool packages use RTL_QUERY_REGISTRY_DIRECT flag to read a registry value to which an untrusted user-mode application may be able to cause a buffer overflow.

Gravedad CVSS v3.1: ALTA

Última modificación:

14/01/2026

CVE-2025-68955

Fecha de publicación:

14/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** Multi-thread race condition vulnerability in the card framework module. <br /> Impact: Successful exploitation of this vulnerability may affect availability.

Gravedad CVSS v3.1: ALTA

Última modificación:

14/01/2026

CVE-2025-68956

Fecha de publicación:

14/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** Multi-thread race condition vulnerability in the card framework module.<br /> Impact: Successful exploitation of this vulnerability may affect availability.

Gravedad CVSS v3.1: ALTA

Última modificación:

14/01/2026

CVE-2025-12051

Fecha de publicación:

14/01/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

14/01/2026

CVE-2025-12052

Fecha de publicación:

14/01/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

14/01/2026

CVE-2025-12050

Fecha de publicación:

14/01/2026

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

14/01/2026

CVE-2026-22686

Fecha de publicación:

14/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** Enclave is a secure JavaScript sandbox designed for safe AI agent code execution. Prior to 2.7.0, there is a critical sandbox escape vulnerability in enclave-vm that allows untrusted, sandboxed JavaScript code to execute arbitrary code in the host Node.js runtime. When a tool invocation fails, enclave-vm exposes a host-side Error object to sandboxed code. This Error object retains its host realm prototype chain, which can be traversed to reach the host Function constructor. An attacker can intentionally trigger a host error, then climb the prototype chain. Using the host Function constructor, arbitrary JavaScript can be compiled and executed in the host context, fully bypassing the sandbox and granting access to sensitive resources such as process.env, filesystem, and network. This breaks enclave-vm’s core security guarantee of isolating untrusted code. This vulnerability is fixed in 2.7.0.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

14/01/2026

CVE-2026-0716

Fecha de publicación:

13/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** A flaw was found in libsoup’s WebSocket frame processing when handling incoming messages. If a non-default configuration is used where the maximum incoming payload size is unset, the library may read memory outside the intended bounds. This can cause unintended memory exposure or a crash. Applications using libsoup’s WebSocket support with this configuration may be impacted.

Gravedad CVSS v3.1: MEDIA

Última modificación:

14/01/2026

CVE-2023-54341

Fecha de publicación:

13/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** Webgrind 1.1 and before contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts via the file parameter in index.php. The application does not sufficiently encode user-controlled inputs, allowing attackers to execute arbitrary JavaScript in victim&#39;s browsers by crafting malicious URLs.

Gravedad CVSS v4.0: MEDIA

Última modificación:

14/01/2026

CVE-2023-54336

Fecha de publicación:

13/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** Mediconta 3.7.27 contains an unquoted service path vulnerability in the servermedicontservice that allows local users to potentially execute code with elevated privileges. Attackers can exploit the unquoted path in C:\Program Files (x86)\medicont3\ to inject malicious code that would execute with LocalSystem permissions during service startup.

Gravedad CVSS v4.0: ALTA

Última modificación:

14/01/2026

Suscribirse a Vulnerabilidades