Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Edimax GS-5008PL (CVE-2026-32840)
Fecha de publicación:
17/03/2026
Idioma:
Español
Edimax GS-5008PL firmware versión 1.00.54 y anteriores contienen una vulnerabilidad de cross-site scripting almacenado en el script system_name_set.cgi que permite a los atacantes inyectar código de script arbitrario manipulando el parámetro sysName. Los atacantes pueden enviar una solicitud POST manipulada con una carga útil de script malicioso que se ejecuta cuando las páginas de administración, incluyendo system_data.js, son vistas por los administradores.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en Edimax GS-5008PL (CVE-2026-32839)
Fecha de publicación:
17/03/2026
Idioma:
Español
La versión 1.00.54 y anteriores del firmware de Edimax GS-5008PL contienen una vulnerabilidad de falsificación de petición en sitios cruzados que permite a atacantes remotos realizar acciones administrativas no autorizadas induciendo a administradores con sesión iniciada a visitar páginas maliciosas. Los atacantes pueden explotar la falta de tokens anti-CSRF y de validación de peticiones para cambiar contraseñas, cargar firmware, reiniciar el dispositivo, realizar restablecimientos de fábrica o modificar configuraciones de red.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en Edimax GS-5008PL (CVE-2026-32838)
Fecha de publicación:
17/03/2026
Idioma:
Español
El firmware Edimax GS-5008PL versión 1.00.54 y anteriores utilizan HTTP en texto claro para la interfaz de gestión web sin implementar cifrado TLS o SSL. Atacantes en la misma red pueden interceptar el tráfico de gestión para capturar credenciales de administrador y datos de configuración sensibles.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en Planning Analytics Local de IBM (CVE-2025-14806)
Fecha de publicación:
17/03/2026
Idioma:
Español
IBM Planning Analytics Local 2.1.0 hasta 2.1.17 podría permitir a un atacante engañar al mecanismo de caché para que almacene y sirva respuestas sensibles y específicas del usuario como recursos públicamente almacenables en caché.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en Endpoint DLP Module for Netskope Client de Netskope (CVE-2026-2809)
Fecha de publicación:
17/03/2026
Idioma:
Español
Se notificó a Netskope sobre una posible brecha en su Módulo DLP de Endpoint para el Cliente Netskope en sistemas Windows. La explotación exitosa de la brecha puede potencialmente permitir a un usuario privilegiado desencadenar un desbordamiento de entero dentro del Inyector de DLL, lo que lleva a una Pantalla Azul de la Muerte (BSOD). La explotación exitosa requeriría que el módulo DLP de Endpoint esté habilitado en la configuración del cliente. Un exploit exitoso puede potencialmente resultar en una denegación de servicio para la máquina local.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en MongoDB Server (CVE-2026-4358)
Fecha de publicación:
17/03/2026
Idioma:
Español
Una consulta de agregación especialmente diseñada con $lookup por un usuario autenticado con privilegios de escritura puede causar un problema de memoria de doble liberación o uso después de liberación en el motor de ejecución basado en ranuras (SBE) cuando una tabla hash en memoria se vuelca a disco.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/04/2026

Vulnerabilidad en MongoDB C Driver (CVE-2026-4359)
Fecha de publicación:
17/03/2026
Idioma:
Español
Un servidor en la nube de terceros comprometido o un atacante man-in-the-middle podría enviar una respuesta HTTP malformada y causar un fallo en las aplicaciones que utilizan el controlador C de MongoDB.
Gravedad CVSS v4.0: BAJA
Última modificación:
02/04/2026

Vulnerabilidad en Kiro IDE de AWS (CVE-2026-4295)
Fecha de publicación:
17/03/2026
Idioma:
Español
La aplicación inadecuada de límites de confianza en Kiro IDE antes de la versión 0.8.0 en todas las plataformas compatibles podría permitir a un actor de amenaza remoto no autenticado ejecutar código arbitrario mediante archivos de directorio de proyecto creados maliciosamente que eluden las protecciones de confianza del espacio de trabajo cuando un usuario local abre el directorio.<br /> <br /> Para remediar este problema, los usuarios deben actualizar a la versión 0.8.0 o superior.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en Ray de ray-project (CVE-2026-32981)
Fecha de publicación:
17/03/2026
Idioma:
Español
Una vulnerabilidad de salto de ruta fue identificada en Ray Dashboard (puerto predeterminado 8265) en versiones de Ray anteriores a la 2.8.1. Debido a la validación y sanitización inadecuadas de las rutas proporcionadas por el usuario en el mecanismo de manejo de archivos estáticos, un atacante puede usar secuencias de salto (p. ej., ../) para acceder a archivos fuera del directorio estático previsto, lo que resulta en la divulgación de archivos locales.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en miniaudio de mackron (CVE-2026-32837)
Fecha de publicación:
17/03/2026
Idioma:
Español
miniaudio versión 0.11.25 y anteriores contienen una vulnerabilidad de lectura fuera de límites en el heap en el analizador de metadatos BEXT de WAV que permite a los atacantes desencadenar violaciones de acceso a la memoria al procesar archivos WAV manipulados. Los atacantes pueden explotar un manejo inadecuado de la terminación nula en el campo de historial de codificación para causar lecturas fuera de límites más allá del pool de metadatos asignado, lo que resulta en caídas de la aplicación o denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en PowerShell Universal de Devolutions (CVE-2026-4064)
Fecha de publicación:
17/03/2026
Idioma:
Español
Faltan comprobaciones de autorización en múltiples puntos finales de servicio gRPC en PowerShell Universal antes de la versión 2026.1.4, lo que permite a un usuario autenticado con cualquier token válido eludir los controles de acceso basados en roles y realizar operaciones privilegiadas — incluyendo la lectura de datos sensibles, la creación o eliminación de recursos, y la interrupción de las operaciones del servicio — mediante solicitudes gRPC manipuladas.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en PowerShell Universal de Devolutions (CVE-2026-3563)
Fecha de publicación:
17/03/2026
Idioma:
Español
Validación de entrada incorrecta en la configuración de aplicaciones y endpoints en PowerShell Universal anterior a 2026.1.4 permite a un usuario autenticado con permisos para crear o modificar aplicaciones o endpoints anular rutas de aplicación o del sistema existentes, lo que resulta en un enrutamiento de solicitudes no intencionado y denegación de servicio a través de una ruta de URL en conflicto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026
Suscribirse a Vulnerabilidades