Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en feiyuchuixue sz-boot-parent (CVE-2026-3185)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en feiyuchuixue sz-boot-parent hasta 1.3.2-beta. Afecta a una función desconocida del archivo /api/admin/sys-message/ del componente Endpoint de API. La manipulación del argumento messageId resulta en omisión de autorización. El ataque puede ser lanzado remotamente. El exploit ha sido hecho público y podría ser utilizado. La actualización a la versión 1.3.3-beta es capaz de abordar este problema. El parche se identifica como aefaabfd7527188bfba3c8c9eee17c316d094802. El componente afectado debería ser actualizado. El proyecto fue informado de antemano y actuó de manera muy profesional: 'Hemos implementado la verificación de propiedad de los mensajes, de modo que los usuarios solo pueden consultar mensajes relacionados con ellos mismos.'
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en feiyuchuixue sz-boot-parent (CVE-2026-3186)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad fue determinada en feiyuchuixue sz-boot-parent hasta 1.3.2-beta. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /api/admin/sys-user/reset/password/ del componente Gestor de Restablecimiento de Contraseña. Esta manipulación del argumento userId causa el uso de contraseña por defecto. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. La actualización a la versión 1.3.3-beta aborda este problema. Nombre del parche: aefaabfd7527188bfba3c8c9eee17c316d094802. Se sugiere actualizar el componente afectado. El proyecto fue informado de antemano y actuó de manera muy profesional: 'Hemos añadido validación de autorización a la interfaz de restablecimiento de contraseña; ahora solo los usuarios con los permisos correspondientes pueden realizar restablecimientos de contraseña.'
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en JetBrains TeamCity (CVE-2026-28193)
Fecha de publicación:
25/02/2026
Idioma:
Español
En JetBrains YouTrack antes de 2025.3.121962, las aplicaciones podían enviar solicitudes al endpoint de permisos de la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en JetBrains TeamCity (CVE-2026-28194)
Fecha de publicación:
25/02/2026
Idioma:
Español
En JetBrains TeamCity antes de 2025.11.3, era posible una redirección abierta en el flujo de creación de proyectos de React.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en Grafana (CVE-2026-21725)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad de tipo "time-of-create-to-time-of-use" (TOCTOU) permite que las fuentes de datos recientemente eliminadas y luego recreadas sean re-eliminadas sin permiso para hacerlo.<br /> <br /> Esto requiere que se cumplan varias condiciones muy estrictas:<br /> <br /> - El atacante debe tener acceso de administrador a la fuente de datos específica antes de su primera eliminación.<br /> - Tras la eliminación, todos los pasos del ataque deben ocurrir dentro de los siguientes 30 segundos y en el mismo pod de Grafana.<br /> - El atacante debe eliminar la fuente de datos, luego alguien debe recrearla.<br /> - La nueva fuente de datos no debe tener al atacante como administrador.<br /> - La nueva fuente de datos debe tener el mismo UID que la fuente de datos anterior. Estos se aleatorizan por defecto.<br /> - La fuente de datos ahora puede ser re-eliminada por el atacante.<br /> - Una vez transcurridos 30 segundos, el ataque se agota y no puede repetirse.<br /> - Ninguna fuente de datos con cualquier otro UID puede ser atacada.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/02/2026

Vulnerabilidad en Antikor de ePati Cyber ??Security Technologies Inc (CVE-2026-2624)
Fecha de publicación:
25/02/2026
Idioma:
Español
Vulnerabilidad de autenticación faltante para función crítica en el Cortafuegos de Próxima Generación (NGFW) Antikor de ePati Cyber ??Security Technologies Inc. permite la omisión de autenticación. Este problema afecta al Cortafuegos de Próxima Generación (NGFW) Antikor: desde la v.2.0.1298 anterior a la v.2.0.1301.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/02/2026

Vulnerabilidad en Octopus Deploy (CVE-2026-0704)
Fecha de publicación:
25/02/2026
Idioma:
Español
En la versión afectada de Octopus Deploy era posible eliminar archivos y/o contenidos de archivos en el host utilizando un endpoint de la API. El campo carecía de validación, lo que podría resultar potencialmente en formas de eludir los flujos de trabajo esperados.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en openSUSE sdbootutil (CVE-2026-25701)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad de archivo temporal inseguro en openSUSE sdbootutil permite a los usuarios locales pre-crear un directorio para lograr varios efectos como:<br /> * obtener acceso a posible información privada encontrada en /var/lib/pcrlock.d<br /> * manipular los datos respaldados en /tmp/pcrlock.d.bak, violando así la integridad de los datos en caso de que se restauren.<br /> * sobrescribir archivos de sistema protegidos con datos de /var/lib/pcrlock.d colocando enlaces simbólicos a archivos existentes en el árbol de directorios en /tmp/pcrlock.d.bak.<br /> <br /> Este problema afecta a sdbootutil: desde ? antes de 5880246d3a02642dc68f5c8cb474bf63cdb56bca.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en Plugin Orchestrator de Red Hat Developer Hub (Backstage) (CVE-2026-3118)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se identificó un fallo de seguridad en el Plugin Orchestrator de Red Hat Developer Hub (Backstage). El problema ocurre debido a una validación de entrada insuficiente en el manejo de consultas GraphQL. Un usuario autenticado puede inyectar una entrada especialmente diseñada en las solicitudes de la API, lo que interrumpe el procesamiento de consultas del backend. Esto resulta en que la aplicación Backstage completa colapse y se reinicie, lo que lleva a una Denegación de Servicio (DoS) en toda la plataforma. Como resultado, los usuarios legítimos pierden temporalmente el acceso a la plataforma.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Red Hat (CVE-2026-26104)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se encontró una falla en el demonio de gestión de almacenamiento udisks que permite a usuarios sin privilegios hacer una copia de seguridad de los encabezados de cifrado LUKS sin autorización. El problema ocurre porque un método D-Bus privilegiado responsable de exportar metadatos de cifrado no realiza una verificación de política. Como resultado, los metadatos criptográficos sensibles pueden ser leídos y escritos en ubicaciones controladas por el atacante. Esto debilita las garantías de confidencialidad de los volúmenes de almacenamiento cifrados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en Rancher CLI (CVE-2025-67601)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad ha sido identificada dentro de Rancher Manager, donde el uso de certificados CA autofirmados y pasar la bandera -skip-verify al comando de inicio de sesión de Rancher CLI sin pasar también la bandera –cacert resulta en que la CLI intenta obtener certificados CA almacenados en la configuración &amp;#39;cacerts&amp;#39; de Rancher.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/03/2026

Vulnerabilidad en NeuVector (CVE-2025-67860)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad ha sido identificada en el escáner NeuVector donde el proceso del escáner acepta credenciales de registro y de controlador como argumentos de línea de comandos, exponiendo potencialmente credenciales sensibles a usuarios locales.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/02/2026
Suscribirse a Vulnerabilidades