Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el Servicio de Nombres de Ethereum (ENS) (CVE-2026-22866)
Fecha de publicación:
25/02/2026
Idioma:
Español
El Servicio de Nombres de Ethereum (ENS) es un sistema de nombres distribuido, abierto y extensible basado en la cadena de bloques de Ethereum. En las versiones 1.6.2 y anteriores, los contratos 'RSASHA256Algorithm' y 'RSASHA1Algorithm' no logran validar la estructura de relleno PKCS#1 v1.5 al verificar firmas RSA. Los contratos solo verifican si los últimos 32 (o 20) bytes de la firma descifrada coinciden con el hash esperado. Esto permite el ataque de falsificación de firmas de Bleichenbacher de 2006 contra zonas DNS que utilizan claves RSA con exponentes públicos bajos (e=3). Dos TLDs compatibles con ENS (.cc y .name) usan e=3 para sus Claves de Firma de Claves, permitiendo que cualquier dominio bajo estos TLDs sea reclamado fraudulentamente en ENS sin la propiedad de DNS. Un parche fue fusionado en el commit c76c5ad0dc9de1c966443bd946fafc6351f87587. Posibles soluciones provisionales incluyen desplegar los contratos parcheados y apuntar DNSSECImpl.setAlgorithm al contrato desplegado.
Gravedad CVSS v4.0: BAJA
Última modificación:
27/02/2026

Vulnerabilidad en asbplayer (CVE-2025-69771)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad de carga arbitraria de archivos en la función de carga de subtítulos de asbplayer v1.13.0 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo de subtítulos manipulado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/03/2026

Vulnerabilidad en esm.sh (CVE-2025-50180)
Fecha de publicación:
25/02/2026
Idioma:
Español
esm.sh es una red de entrega de contenido (CDN) sin compilación para desarrollo web. En la versión 136, esm.sh es vulnerable a un SSRF de respuesta completa, permitiendo a un atacante recuperar información de sitios web internos a través de la vulnerabilidad. La versión 137 corrige la vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en Gardyn IoT Hub (CVE-2025-1242)
Fecha de publicación:
25/02/2026
Idioma:
Español
Las credenciales administrativas pueden extraerse a través de las respuestas de la API de la aplicación, la ingeniería inversa de aplicaciones móviles y la ingeniería inversa del firmware del dispositivo. La exposición puede resultar en que un atacante obtenga acceso administrativo completo al Gardyn IoT Hub, exponiendo los dispositivos conectados a control malicioso.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
27/02/2026

CVE-2026-3197
Fecha de publicación:
25/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
25/02/2026

Vulnerabilidad en feiyuchuixue sz-boot-parent (CVE-2026-3187)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad fue identificada en feiyuchuixue sz-boot-parent hasta 1.3.2-beta. Afectada por este problema es alguna funcionalidad desconocida del archivo /api/admin/sys-file/upload del componente API Endpoint. Tal manipulación lleva a una carga sin restricciones. El ataque puede ser lanzado remotamente. El exploit está disponible públicamente y podría ser usado. La actualización a la versión 1.3.3-beta puede resolver este problema. El nombre del parche es aefaabfd7527188bfba3c8c9eee17c316d094802. La actualización del componente afectado es recomendada. El proyecto fue informado de antemano y actuó de manera muy profesional: 'Hemos introducido una restricción de lista blanca en el endpoint /api/admin/sys-file/upload a través de las opciones de configuración oss.allowedExts y oss.allowedMimeTypes, permitiendo la especificación de extensiones de archivo y tipos MIME permitidos para las cargas.'
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Wireshark (CVE-2026-3201)
Fecha de publicación:
25/02/2026
Idioma:
Español
Agotamiento de memoria del disector del protocolo USB HID en Wireshark 4.6.0 a 4.6.3 y 4.4.0 a 4.4.13 permite denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Wireshark (CVE-2026-3202)
Fecha de publicación:
25/02/2026
Idioma:
Español
Fallo del disector del protocolo NTS-KE en Wireshark 4.6.0 a 4.6.3 permite la denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Wireshark (CVE-2026-3203)
Fecha de publicación:
25/02/2026
Idioma:
Español
Fallo del disector del protocolo de perfil RF4CE en Wireshark de 4.6.0 a 4.6.3 y de 4.4.0 a 4.4.13 permite la denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Progress® Telerik® UI para AJAX (CVE-2026-2878)
Fecha de publicación:
25/02/2026
Idioma:
Español
En Progress® Telerik® UI para AJAX, versiones anteriores a 2026.1.225, existe una vulnerabilidad de entropía insuficiente en RadAsyncUpload, donde un identificador temporal predecible, basado en la marca de tiempo y el nombre de archivo, puede permitir colisiones y la manipulación del contenido del archivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en FTP `basic-ftp` para Node.js (CVE-2026-27699)
Fecha de publicación:
25/02/2026
Idioma:
Español
La librería cliente FTP `basic-ftp` para Node.js contiene una vulnerabilidad de salto de ruta (CWE-22) en versiones anteriores a la 5.2.0 en el método `downloadToDir()`. Un servidor FTP malicioso puede enviar listados de directorio con nombres de archivo que contienen secuencias de salto de ruta (`../`) que provocan que los archivos se escriban fuera del directorio de descarga previsto. La versión 5.2.0 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/02/2026

Vulnerabilidad en iccDEV (CVE-2026-27691)
Fecha de publicación:
25/02/2026
Idioma:
Español
iccDEV proporciona un conjunto de librerías y herramientas para trabajar con perfiles de gestión de color ICC. En versiones hasta la 2.3.1.4 inclusive, un desbordamiento de entero con signo en iccFromCube.cpp durante la multiplicación desencadena un comportamiento indefinido, lo que podría causar fallos o una generación incorrecta de perfiles ICC al procesar entradas de cubo manipuladas/grandes. El commit 43ae18dd69fc70190d3632a18a3af2f3da1e052a soluciona el problema. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026
Suscribirse a Vulnerabilidades