Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Wireshark (CVE-2026-3201)
Fecha de publicación:
25/02/2026
Idioma:
Español
Agotamiento de memoria del disector del protocolo USB HID en Wireshark 4.6.0 a 4.6.3 y 4.4.0 a 4.4.13 permite denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Wireshark (CVE-2026-3202)
Fecha de publicación:
25/02/2026
Idioma:
Español
Fallo del disector del protocolo NTS-KE en Wireshark 4.6.0 a 4.6.3 permite la denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Wireshark (CVE-2026-3203)
Fecha de publicación:
25/02/2026
Idioma:
Español
Fallo del disector del protocolo de perfil RF4CE en Wireshark de 4.6.0 a 4.6.3 y de 4.4.0 a 4.4.13 permite la denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Progress® Telerik® UI para AJAX (CVE-2026-2878)
Fecha de publicación:
25/02/2026
Idioma:
Español
En Progress® Telerik® UI para AJAX, versiones anteriores a 2026.1.225, existe una vulnerabilidad de entropía insuficiente en RadAsyncUpload, donde un identificador temporal predecible, basado en la marca de tiempo y el nombre de archivo, puede permitir colisiones y la manipulación del contenido del archivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en FTP `basic-ftp` para Node.js (CVE-2026-27699)
Fecha de publicación:
25/02/2026
Idioma:
Español
La librería cliente FTP `basic-ftp` para Node.js contiene una vulnerabilidad de salto de ruta (CWE-22) en versiones anteriores a la 5.2.0 en el método `downloadToDir()`. Un servidor FTP malicioso puede enviar listados de directorio con nombres de archivo que contienen secuencias de salto de ruta (`../`) que provocan que los archivos se escriban fuera del directorio de descarga previsto. La versión 5.2.0 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/02/2026

Vulnerabilidad en iccDEV (CVE-2026-27691)
Fecha de publicación:
25/02/2026
Idioma:
Español
iccDEV proporciona un conjunto de librerías y herramientas para trabajar con perfiles de gestión de color ICC. En versiones hasta la 2.3.1.4 inclusive, un desbordamiento de entero con signo en iccFromCube.cpp durante la multiplicación desencadena un comportamiento indefinido, lo que podría causar fallos o una generación incorrecta de perfiles ICC al procesar entradas de cubo manipuladas/grandes. El commit 43ae18dd69fc70190d3632a18a3af2f3da1e052a soluciona el problema. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en iccDEV (CVE-2026-27692)
Fecha de publicación:
25/02/2026
Idioma:
Español
iccDEV proporciona un conjunto de librerías y herramientas para trabajar con perfiles ICC de gestión de color. En versiones hasta la 2.3.1.4 inclusive, se produce una lectura de desbordamiento de búfer de montón durante CIccTagTextDescription::Release() cuando strlen() lee más allá de un búfer de montón mientras analiza etiquetas de descripción de texto XML de perfiles ICC, causando un fallo. El commit 29d088840b962a7cdd35993dfabc2cb35a049847 corrige el problema. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en zae-limiter (CVE-2026-27695)
Fecha de publicación:
25/02/2026
Idioma:
Español
zae-limiter es una librería de limitación de velocidad que utiliza el algoritmo de cubo de tokens. Antes de la versión 0.10.1, todos los cubos de límite de velocidad para una única entidad comparten la misma clave de partición de DynamoDB ('namespace/ENTITY#{id}'). Una entidad de alto tráfico puede exceder los límites de rendimiento por partición de DynamoDB (~1.000 WCU/seg), causando una limitación que degrada el servicio para esa entidad — y potencialmente para entidades coubicadas en la misma partición. La versión 0.10.1 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en JetBrains TeamCity (CVE-2026-28195)
Fecha de publicación:
25/02/2026
Idioma:
Español
En JetBrains TeamCity antes de 2025.11.3, la falta de autorización permitió a los desarrolladores de proyectos añadir parámetros a las configuraciones de compilación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en JetBrains TeamCity (CVE-2026-28196)
Fecha de publicación:
25/02/2026
Idioma:
Español
En JetBrains TeamCity antes de 2025.11.3, deshabilitar la configuración versionada dejó una configuración de credenciales en el disco.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/02/2026

Vulnerabilidad en feiyuchuixue sz-boot-parent (CVE-2026-3185)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en feiyuchuixue sz-boot-parent hasta 1.3.2-beta. Afecta a una función desconocida del archivo /api/admin/sys-message/ del componente Endpoint de API. La manipulación del argumento messageId resulta en omisión de autorización. El ataque puede ser lanzado remotamente. El exploit ha sido hecho público y podría ser utilizado. La actualización a la versión 1.3.3-beta es capaz de abordar este problema. El parche se identifica como aefaabfd7527188bfba3c8c9eee17c316d094802. El componente afectado debería ser actualizado. El proyecto fue informado de antemano y actuó de manera muy profesional: 'Hemos implementado la verificación de propiedad de los mensajes, de modo que los usuarios solo pueden consultar mensajes relacionados con ellos mismos.'
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en feiyuchuixue sz-boot-parent (CVE-2026-3186)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad fue determinada en feiyuchuixue sz-boot-parent hasta 1.3.2-beta. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /api/admin/sys-user/reset/password/ del componente Gestor de Restablecimiento de Contraseña. Esta manipulación del argumento userId causa el uso de contraseña por defecto. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. La actualización a la versión 1.3.3-beta aborda este problema. Nombre del parche: aefaabfd7527188bfba3c8c9eee17c316d094802. Se sugiere actualizar el componente afectado. El proyecto fue informado de antemano y actuó de manera muy profesional: 'Hemos añadido validación de autorización a la interfaz de restablecimiento de contraseña; ahora solo los usuarios con los permisos correspondientes pueden realizar restablecimientos de contraseña.'
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026
Suscribirse a Vulnerabilidades