Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ZerBea (CVE-2026-29976)
Fecha de publicación:
26/03/2026
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer en ZerBea hcxpcapngtool v. 7.0.1-43-g2ee308e permite a un atacante local obtener información sensible a través de la función getradiotapfield()
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/04/2026

Vulnerabilidad en Timo (CVE-2026-30162)
Fecha de publicación:
26/03/2026
Idioma:
Español
Vulnerabilidad de Cross Site Scripting (XSS) en Timo 2.0.3 mediante enlaces manipulados en el campo de título.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en YZMCMS (CVE-2026-29933)
Fecha de publicación:
26/03/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) reflejada en el componente /index/login.html de YZMCMS v7.4 permite a los atacantes ejecutar Javascript arbitrario en el contexto del navegador del usuario mediante la modificación del valor del referrer en la cabecera de la solicitud.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en SolarWinds Observability Self-Hosted de SolarWinds (CVE-2026-28297)
Fecha de publicación:
26/03/2026
Idioma:
Español
SolarWinds Observability Self-Hosted se encontró que estaba afectado por una vulnerabilidad de cross-site scripting almacenado, la cual, al ser explotada, puede llevar a la ejecución de scripts no deseados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en SolarWinds Observability Self-Hosted de SolarWinds (CVE-2026-28298)
Fecha de publicación:
26/03/2026
Idioma:
Español
SolarWinds Observability Self-Hosted se encontró que estaba afectado por una vulnerabilidad de cross-site scripting almacenado, que, al ser explotada, puede llevar a la ejecución de scripts no deseados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en RTUM85 RTU Base de Siemens (CVE-2026-27663)
Fecha de publicación:
26/03/2026
Idioma:
Español
Se ha identificado una vulnerabilidad en CPCI85 Procesamiento/Comunicación Central (Todas las versiones < V26.10), RTUM85 Base RTU (Todas las versiones < V26.10). La aplicación afectada contiene una vulnerabilidad de denegación de servicio (DoS). El modo de operación remoto es susceptible a una condición de agotamiento de recursos cuando se somete a un alto volumen de solicitudes. El envío de múltiples solicitudes puede agotar los recursos, impidiendo la parametrización y requiriendo un reinicio o un rearranque para restaurar la funcionalidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/04/2026

Vulnerabilidad en SICORE Base system de Siemens (CVE-2026-27664)
Fecha de publicación:
26/03/2026
Idioma:
Español
Se ha identificado una vulnerabilidad en CPCI85 Central Processing/Communication (Todas las versiones < V26.10), sistema base SICORE (Todas las versiones < V26.10.0). La aplicación afectada contiene una vulnerabilidad de escritura fuera de límites al analizar entradas XML especialmente manipuladas. Esto podría permitir a un atacante no autenticado explotar este problema enviando una solicitud XML maliciosa, lo que podría provocar la caída del servicio, resultando en una condición de denegación de servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/04/2026

Vulnerabilidad en everest-core de EVerest (CVE-2026-26072)
Fecha de publicación:
26/03/2026
Idioma:
Español
EVerest es una pila de software de carga de VE. Las versiones anteriores a la 2026.02.0 tienen una condición de carrera de datos que lleva a un acceso concurrente a 'std::map' (posible corrupción del contenedor/opcional). El desencadenante es la actualización del SoC del VE con la actualización periódica del medidor de potencia y el estado de desconexión/SesiónFinalizada. La versión 2026.02.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en everest-core de EVerest (CVE-2026-26071)
Fecha de publicación:
26/03/2026
Idioma:
Español
EVerest es una pila de software de carga de vehículos eléctricos. Las versiones anteriores a la 2026.02.0 tienen una condición de carrera que lleva a un acceso concurrente a 'std::string', con posible uso después de liberación en el heap. Esto se activa por la actualización de EVCCID (EV/ISO15118) y los eventos de sesión/autorización de OCPP. La versión 2026.02.0 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en everest-core de EVerest (CVE-2026-26070)
Fecha de publicación:
26/03/2026
Idioma:
Español
EVerest es una pila de software de carga de VE. Las versiones anteriores a 2026.02.0 tienen una condición de carrera de datos que lleva a un acceso concurrente a `std::map` (posible corrupción del contenedor/opcional). El desencadenante es una actualización del SoC del VE con actualización periódica del medidor de potencia y estado de desconexión/SesiónFinalizada. La versión 2026.2.0 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en everest-core de EVerest (CVE-2026-26008)
Fecha de publicación:
26/03/2026
Idioma:
Español
EVerest es una pila de software de carga de VE. Las versiones anteriores a la 2026.02.0 tienen un acceso fuera de límites (std::vector) que conduce a una posible caída remota/corrupción de memoria. Esto se debe a que el CSMS envía UpdateAllowedEnergyTransferModes a través de la red. La versión 2026.2.0 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/03/2026

Vulnerabilidad en everest-core de EVerest (CVE-2026-23995)
Fecha de publicación:
26/03/2026
Idioma:
Español
EVerest es una pila de software de carga de VE. Antes de la versión 2026.02.0, desbordamiento de búfer basado en pila en la inicialización de la interfaz CAN: pasar un nombre de interfaz más largo que IFNAMSIZ (16) a las rutinas de apertura de CAN desborda 'ifreq.ifr_name', corrompiendo datos adyacentes de la pila y permitiendo la ejecución potencial de código. Un nombre de interfaz malicioso o mal configurado puede activar esto antes de cualquier verificación de privilegios. La versión 2026.02.0 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/03/2026
Suscribirse a Vulnerabilidades