Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en skill-scanner de cisco-ai-defense (CVE-2026-26057)
Fecha de publicación:
19/02/2026
Idioma:
Español
Skill Scanner es un escáner de seguridad para Habilidades de Agentes de IA que detecta inyección de prompts, exfiltración de datos y patrones de código malicioso. Una vulnerabilidad en el API Server de Skill Scanner podría permitir a un atacante remoto no autenticado interactuar con la API del servidor y o bien desencadenar una condición de denegación de servicio (DoS) o cargar archivos arbitrarios. Esta vulnerabilidad se debe a una vinculación errónea a múltiples interfaces. Un atacante podría explotar esta vulnerabilidad enviando solicitudes de API a un dispositivo que expone el API Server afectado. Un exploit exitoso podría permitir al atacante consumir una cantidad excesiva de recursos (agotamiento de memoria) o cargar archivos en carpetas arbitrarias en el dispositivo afectado. Esta vulnerabilidad afecta a Skill-scanner 1.0.1 y versiones anteriores cuando el API Server está habilitado. El API Server no está habilitado por defecto. Las versiones de software de Skill-scanner 1.0.2 y posteriores contienen la corrección para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en MailEssentials AI de GFI Software (CVE-2026-23621)
Fecha de publicación:
19/02/2026
Idioma:
Español
Las versiones de GFI MailEssentials AI anteriores a la 22.4 contienen una vulnerabilidad de enumeración de existencia de directorios arbitrarios en el método web ListServer.IsPathExist() expuesto en /MailEssentials/pages/MailSecurity/ListServer.aspx/IsPathExist. Un usuario autenticado puede proporcionar una ruta de sistema de archivos sin restricciones a través de la clave JSON 'path', que se decodifica por URL y se pasa a Directory.Exists(), permitiendo al atacante determinar si existen directorios arbitrarios en el servidor.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en Spring Data Geode (CVE-2026-2817)
Fecha de publicación:
19/02/2026
Idioma:
Español
Uso de directorio inseguro en la importación de instantáneas de Spring Data Geode extrae archivos en directorios predecibles y permisivos bajo la ubicación temporal del sistema. En hosts compartidos, un usuario local con privilegios básicos puede acceder al contenido de la instantánea extraída de otro usuario, lo que lleva a una exposición no intencionada de datos de caché.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en QEMU (CVE-2026-2243)
Fecha de publicación:
19/02/2026
Idioma:
Español
Se encontró un fallo en QEMU. Una imagen VMDK especialmente diseñada podría desencadenar una vulnerabilidad de lectura fuera de límites, lo que podría llevar a una fuga de 12 bytes de información sensible o a una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en Delinea Cloud Suite (CVE-2026-2409)
Fecha de publicación:
19/02/2026
Idioma:
Español
La vulnerabilidad de Neutralización Inadecuada de Elementos Especiales utilizados en un Comando SQL ('inyección SQL') en Delinea Cloud Suite permite la Inyección de Argumentos. Este problema afecta a Cloud Suite: antes de 25.2 HF1.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/02/2026

Vulnerabilidad en Hyland Alfresco Transformation Service (CVE-2026-26339)
Fecha de publicación:
19/02/2026
Idioma:
Español
Hyland Alfresco Transformation Service permite a atacantes no autenticados lograr ejecución remota de código a través de la vulnerabilidad de inyección de argumentos, que existe en la funcionalidad de procesamiento de documentos.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/03/2026

Vulnerabilidad en Hyland Alfresco Transformation Service (CVE-2026-26338)
Fecha de publicación:
19/02/2026
Idioma:
Español
Hyland Alfresco Transformation Service permite a atacantes no autenticados lograr falsificación de petición del lado del servidor (SSRF) a través de la funcionalidad de procesamiento de documentos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026

Vulnerabilidad en Hyland Alfresco Transformation Service (CVE-2026-26337)
Fecha de publicación:
19/02/2026
Idioma:
Español
El Servicio de Transformación Hyland Alfresco permite a atacantes no autenticados lograr tanto la lectura arbitraria de archivos como la falsificación de petición del lado del servidor a través del salto de ruta absoluto.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/03/2026

Vulnerabilidad en GFI MailEssentials AI (CVE-2026-23616)
Fecha de publicación:
19/02/2026
Idioma:
Español
Las versiones de GFI MailEssentials AI anteriores a la 22.4 contienen una vulnerabilidad de cross-site scripting almacenada en la página de configuración de Anti-Spoofing. Un usuario autenticado puede introducir HTML/JavaScript en el parámetro ctl00$ContentPlaceHolder1$AntiSpoofingGeneral1$TxtSmtpDesc a /MailEssentials/pages/MailSecurity/AntiSpoofing.aspx, que se almacena y se renderiza posteriormente en la interfaz de gestión, permitiendo la ejecución de scripts en el contexto de un usuario con sesión iniciada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en GFI MailEssentials AI (CVE-2026-23617)
Fecha de publicación:
19/02/2026
Idioma:
Español
GFI MailEssentials AI versiones anteriores a la 22.4 contienen una vulnerabilidad de cross-site scripting almacenado en la interfaz de condiciones de Comprobación de Palabras Clave de Correo no Deseado (Cuerpo). Un usuario autenticado puede proporcionar HTML/JavaScript en el parámetro ctl00$ContentPlaceHolder1$pvGeneral$TXB_Condition a /MailEssentials/pages/MailSecurity/ASKeywordChecking.aspx, que se almacena y luego se renderiza en la interfaz de gestión, permitiendo la ejecución de scripts en el contexto de un usuario con sesión iniciada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en GFI MailEssentials AI (CVE-2026-23618)
Fecha de publicación:
19/02/2026
Idioma:
Español
Las versiones de GFI MailEssentials AI anteriores a la 22.4 contienen una vulnerabilidad de cross-site scripting almacenada en la interfaz de condiciones de Comprobación de Palabras Clave de Correo no Deseado (Asunto). Un usuario autenticado puede proporcionar HTML/JavaScript en el parámetro ctl00$ContentPlaceHolder1$pvSubject$TXB_SubjectCondition a /MailEssentials/pages/MailSecurity/ASKeywordChecking.aspx, que se almacena y luego se renderiza en la interfaz de administración, permitiendo la ejecución de scripts en el contexto de un usuario que ha iniciado sesión.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en GFI MailEssentials AI (CVE-2026-23619)
Fecha de publicación:
19/02/2026
Idioma:
Español
Las versiones de GFI MailEssentials AI anteriores a la 22.4 contienen una vulnerabilidad de cross-site scripting almacenado en la página de configuración de Dominios Locales. Un usuario autenticado puede introducir HTML/JavaScript en el parámetro ctl00$ContentPlaceHolder1$Pv3$txtDescription a /MailEssentials/pages/MailSecurity/general.aspx, que se almacena y se renderiza posteriormente en la interfaz de gestión, permitiendo la ejecución de scripts en el contexto de un usuario con sesión iniciada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026
Suscribirse a Vulnerabilidades