Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-27751
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** SODOLA SL902-SWTGW124AS firmware versions through 200.1.20 contain a default credentials vulnerability that allows remote attackers to obtain administrative access to the management interface. Attackers can authenticate using the hardcoded default credentials without password change enforcement to gain full administrative control of the device.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
27/02/2026

CVE-2026-26861
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** CleverTap Web SDK version 1.15.2 and earlier is vulnerable to Cross-Site Scripting (XSS) via window.postMessage. The handleCustomHtmlPreviewPostMessageEvent function in src/util/campaignRender/nativeDisplay.js performs insufficient origin validation using the includes() method, which can be bypassed by an attacker using a subdomain
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-26862
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** CleverTap Web SDK version 1.15.2 and earlier is vulnerable to DOM-based Cross-Site Scripting (XSS) via window.postMessage in the Visual Builder module. The origin validation in src/modules/visualBuilder/pageBuilder.js (lines 56-60) uses the includes() method to verify the originUrl contains "dashboard.clevertap.com", which can be bypassed by an attacker using a crafted subdomain
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-21619
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Uncontrolled Resource Consumption, Deserialization of Untrusted Data vulnerability in hexpm hex_core (hex_api modules), hexpm hex (mix_hex_api modules), erlang rebar3 (r3_hex_api modules) allows Object Injection, Excessive Allocation. This vulnerability is associated with program files src/hex_api.erl, src/mix_hex_api.erl, apps/rebar/src/vendored/r3_hex_api.erl and program routines hex_core:request/4, mix_hex_api:request/4, r3_hex_api:request/4.<br /> <br /> This issue affects hex_core: from 0.1.0 before 0.12.1; hex: from 2.3.0 before 2.3.2; rebar3: from 3.9.1 before 3.27.0.
Gravedad CVSS v4.0: BAJA
Última modificación:
27/02/2026

CVE-2019-25494
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Homey BNB V4 contains an SQL injection vulnerability in the administration panel login that allows unauthenticated attackers to bypass authentication by injecting SQL syntax into username and password fields. Attackers can submit SQL operators like &amp;#39;=&amp;#39; &amp;#39;or&amp;#39; in both credentials to manipulate the authentication query and gain unauthorized access to the admin panel.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2019-25495
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** osCommerce 2.3.4.1 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the reviews_id parameter. Attackers can send GET requests to product_reviews_write.php with malicious reviews_id values using boolean-based SQL injection payloads to extract sensitive database information.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2019-25496
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** osCommerce 2.3.4.1 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the products_id parameter. Attackers can modify the products_id value in product_info.php requests and append boolean-based SQL injection payloads to extract sensitive database information.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2019-25497
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** osCommerce 2.3.4.1 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the currency parameter. Attackers can send GET requests to shopping_cart.php with malicious currency values using boolean-based SQL injection payloads to extract sensitive database information.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2019-25490
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Homey BNB V4 contains a SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the &amp;#39;id&amp;#39; parameter. Attackers can send GET requests to the admin/edit.php endpoint with time-based SQL injection payloads to extract sensitive database information.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2019-25491
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Homey BNB V4 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the catid parameter. Attackers can send GET requests to the admin/cms_getpagetitle.php endpoint with malicious catid values to extract sensitive database information.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2019-25492
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Homey BNB V4 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the &amp;#39;pt&amp;#39; parameter. Attackers can send GET requests to the admin/getcmsdata.php endpoint with malicious &amp;#39;pt&amp;#39; values to extract sensitive database information.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2019-25493
Fecha de publicación:
27/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Homey BNB V4 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through the &amp;#39;val&amp;#39; parameter. Attackers can send GET requests to the admin/getrecord.php endpoint with malicious &amp;#39;val&amp;#39; values to extract sensitive database information.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades