Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en openemr (CVE-2026-33909)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para la gestión de registros médicos electrónicos y la práctica médica. Antes de la versión 8.0.0.3, varias variables en el código de procesamiento de recordatorios/recuperación de MedEx se concatenan directamente en consultas SQL sin parametrización ni conversión de tipos, lo que permite la inyección SQL. La versión 8.0.0.3 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en openemr (CVE-2026-29187)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de registros de salud electrónicos y práctica médica de código abierto y gratuita. Antes de la versión 8.0.0.3, existe una vulnerabilidad de inyección SQL ciega en la funcionalidad de Búsqueda de Pacientes (/interface/new/new_search_popup.php). La vulnerabilidad permite a un atacante autenticado ejecutar comandos SQL arbitrarios manipulando las claves de los parámetros HTTP en lugar de los valores. La versión 8.0.0.3 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en openemr (CVE-2026-33348)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de práctica médica y registros de salud electrónicos de código abierto y gratuita. Los usuarios con el rol 'Notes - my encounters' pueden completar formularios de Examen Ocular en los encuentros con pacientes. Las respuestas del formulario se muestran en la página del encuentro y en el historial de visitas para los usuarios con el mismo rol. Las versiones anteriores a la 8.0.0.3 tienen una vulnerabilidad de cross-site scripting (XSS) almacenado en la función para mostrar las respuestas del formulario, permitiendo a cualquier atacante autenticado con el rol específico insertar JavaScript arbitrario en el sistema introduciendo cargas útiles maliciosas en las respuestas del formulario. El código JavaScript es ejecutado posteriormente por cualquier usuario con el rol del formulario al ver las respuestas del formulario en las páginas de encuentro con el paciente o en el historial de visitas. La versión 8.0.0.3 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en OpenEMR (CVE-2026-32120)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para la gestión de historias clínicas electrónicas y consultas médicas. Antes de la versión 8.0.0.3, una vulnerabilidad de referencia directa a objetos insegura (IDOR) en la lógica de guardado del producto «hoja de tarifas» (`library/FeeSheet.class.php`) permite a cualquier usuario autenticado con acceso ACL a la hoja de tarifas eliminar, modificar o leer registros `drug_sales` pertenecientes a pacientes arbitrarios mediante la manipulación del campo oculto del formulario `prod[][sale_id]`. El método `save()` utiliza el `sale_id` proporcionado por el usuario en cinco consultas SQL (SELECT, UPDATE, DELETE) sin verificar que el registro pertenezca al paciente y a la consulta actuales. La versión 8.0.0.3 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

CVE-2025-2535
Fecha de publicación:
25/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
25/03/2026

Vulnerabilidad en Iperius Backup de Enter Software (CVE-2026-4823)
Fecha de publicación:
25/03/2026
Idioma:
Español
Se ha encontrado una falla en Enter Software Iperius Backup hasta la versión 8.7.3. Afectada por esta vulnerabilidad es una funcionalidad desconocida del componente Gestor NTLM2. La ejecución de una manipulación puede llevar a la revelación de información. El ataque está restringido a la ejecución local. Los ataques de esta naturaleza son altamente complejos. La explotación parece ser difícil. El exploit ha sido publicado y puede ser utilizado. La actualización a la versión 8.7.4 soluciona este problema. Se aconseja actualizar el componente afectado. Se contactó al proveedor con antelación, respondió de manera muy profesional y rápidamente lanzó una versión corregida del producto afectado.
Gravedad CVSS v4.0: BAJA
Última modificación:
25/03/2026

Vulnerabilidad en Iperius Backup de Enter Software (CVE-2026-4824)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Enter Software Iperius Backup hasta la versión 8.7.3. Afectada por este problema está alguna funcionalidad desconocida del componente Gestor de Archivos de Configuración de Tareas de Copia de Seguridad. La manipulación conduce a una gestión de privilegios inadecuada. El ataque debe ser llevado a cabo localmente. Se considera que el ataque tiene una complejidad alta. Se sabe que la explotación es difícil. El exploit ha sido divulgado al público y puede ser utilizado. Actualizar a la versión 8.7.4 puede resolver este problema. Es aconsejable actualizar el componente afectado. El proveedor fue contactado tempranamente, respondió de una manera muy profesional y rápidamente lanzó una versión corregida del producto afectado.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en Knowledge Catalog Standard Cartridge de IBM (CVE-2025-36187)
Fecha de publicación:
25/03/2026
Idioma:
Español
IBM Knowledge Catalog Standard Cartridge 5.0.0, 5.0.1, 5.0.2, 5.0.3, 5.1, 5.1.1, 5,1.2, 5.1.3, 5.2.0, 5.2.1 almacena información potencialmente sensible en archivos de registro que podría ser leída por un usuario privilegiado local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Maximo Application Suite - Monitor Component de IBM (CVE-2025-14684)
Fecha de publicación:
25/03/2026
Idioma:
Español
IBM Maximo Application Suite - Monitor Component 9.1, 9.0, 8.11 y 8.10 podría permitir a un usuario no autorizado inyectar datos en los mensajes de registro debido a una neutralización inadecuada de elementos especiales al escribirse en los archivos de registro.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Iperius Backup de Enter Software (CVE-2026-4822)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad fue detectada en Enter Software Iperius Backup hasta 8.7.3. Afecta a una función desconocida del archivo C:\ProgramData\IperiusBackup\Jobs\ del componente Backup Service. Realizar una manipulación resulta en la creación de un archivo temporal con permisos inseguros. El ataque solo es posible con acceso local. Un alto grado de complejidad es necesario para el ataque. La explotabilidad se dice que es difícil. El exploit ahora es público y puede ser utilizado. La actualización a la versión 8.7.4 puede solucionar este problema. Se recomienda actualizar el componente afectado. El proveedor fue contactado tempranamente, respondió de una manera muy profesional y rápidamente lanzó una versión corregida del producto afectado.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en nats-server de nats-io (CVE-2026-33249)
Fecha de publicación:
25/03/2026
Idioma:
Español
NATS-Server es un servidor de alto rendimiento para NATS.io, un sistema de mensajería nativo de la nube y del borde. A partir de la versión 2.11.0 y antes de las versiones 2.11.15 y 2.12.6, un cliente válido que utiliza encabezados de rastreo de mensajes puede indicar que los mensajes de rastreo pueden enviarse a un asunto válido arbitrario, incluidos aquellos para los que el cliente no tiene permiso de publicación. La carga útil es un mensaje de rastreo válido y no es elegido por el atacante. Las versiones 2.11.15 y 2.12.6 contienen una corrección. No hay soluciones alternativas conocidas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en nats-server de nats-io (CVE-2026-33248)
Fecha de publicación:
25/03/2026
Idioma:
Español
NATS-Server es un servidor de alto rendimiento para NATS.io, un sistema de mensajería nativo de la nube y del *edge*. Antes de las versiones 2.11.15 y 2.12.6, al usar mTLS para la identidad del cliente, con 'verify_and_map' para derivar una identidad NATS del DN del Asunto del certificado del cliente, ciertos patrones de RDN no se aplicarían correctamente, permitiendo la omisión de autenticación. Esto requiere un certificado válido de una CA ya confiable para certificados de cliente, y patrones de nombres de 'DN' que los mantenedores de NATS consideran altamente improbables. Por lo tanto, este es un ataque improbable. No obstante, los administradores que han sido muy sofisticados en sus patrones de construcción de 'DN' podrían verse afectados. Las versiones 2.11.15 y 2.12.6 contienen una corrección. Como solución alternativa, los desarrolladores deberían revisar sus prácticas de emisión de CA.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026
Suscribirse a Vulnerabilidades