Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-22267
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Dell PowerProtect Data Manager, version(s) prior to 19.22, contain(s) an Incorrect Privilege Assignment vulnerability. A low privileged attacker with remote access could potentially exploit this vulnerability, leading to Elevation of privileges.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/02/2026

CVE-2026-22266
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Dell PowerProtect Data Manager, version(s) prior to 19.22, contain(s) an Improper Verification of Source of a Communication Channel vulnerability in the REST API. A high privileged attacker with remote access could potentially exploit this vulnerability, leading to protection mechanism bypass.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

CVE-2025-13590
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** A malicious actor with administrative privileges can upload an arbitrary file to a user-controlled location within the deployment via a system REST API. Successful uploads may lead to remote code execution. <br /> <br /> By leveraging the vulnerability, a malicious actor may perform Remote Code Execution by uploading a specially crafted payload.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/02/2026

CVE-2025-12107
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Due to the use of a vulnerable third-party Velocity template engine, a malicious actor with admin privilege may inject and execute arbitrary template syntax within server-side templates. <br /> <br /> Successful exploitation of this vulnerability could allow a malicious actor with admin privilege to inject and execute arbitrary template code on the server, potentially leading to remote code execution, data manipulation, or unauthorized access to sensitive information.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/02/2026

CVE-2026-27092
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authorization vulnerability in Greg Winiarski WPAdverts wpadverts allows Exploiting Incorrectly Configured Access Control Security Levels.This issue affects WPAdverts: from n/a through
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2026

CVE-2026-2735
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Stored Cross-Site Scripting (XSS) in Alkacon&amp;#39;s OpenCms v18.0, which occurs when user input is not properly validated when sending a POST request to ‘/blog/new-article/org.opencms.ugc.CmsUgcEditService.gwt’ using the ‘text’ parameter.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/02/2026

CVE-2026-2736
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Reflected Cross-site Scripting (XSS) in Alkacon&amp;#39;s OpenCms v18.0, which allows an attacker to execute JavaScript code in the victim&amp;#39;s browser by sending the victim a malicious URL containing the ‘q’ parameter in ‘/search/index.html’. This vulnerability can be exploited to steal sensitive user information such as session cookies, or to perform actions while impersonating the user.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/02/2026

CVE-2026-27094
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (&amp;#39;Cross-site Scripting&amp;#39;) vulnerability in GoDaddy CoBlocks coblocks allows Stored XSS.This issue affects CoBlocks: from n/a through
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

CVE-2026-27066
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Missing Authorization vulnerability in PI Web Solution Live sales notification for WooCommerce live-sales-notifications-for-woocommerce allows Exploiting Incorrectly Configured Access Control Security Levels.This issue affects Live sales notification for WooCommerce: from n/a through
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2026

CVE-2026-27090
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in WP Moose Kenta Companion kenta-companion allows Cross Site Request Forgery.This issue affects Kenta Companion: from n/a through
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2026

CVE-2026-27074
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (&amp;#39;Cross-site Scripting&amp;#39;) vulnerability in vaakash Shortcoder shortcoder allows Stored XSS.This issue affects Shortcoder: from n/a through
Gravedad: Pendiente de análisis
Última modificación:
19/02/2026

CVE-2026-27069
Fecha de publicación:
19/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (&amp;#39;Cross-site Scripting&amp;#39;) vulnerability in PenciDesign Soledad soledad allows DOM-Based XSS.This issue affects Soledad: from n/a through
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026
Suscribirse a Vulnerabilidades