Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Chyrp (CVE-2025-69768)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de inyección SQL en Chyrp v.2.5.2 y anteriores permite a un atacante remoto obtener información sensible a través del componente Admin.php
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en AWS API MCP Server de AWS (CVE-2026-4270)
Fecha de publicación:
16/03/2026
Idioma:
Español
Protección Inadecuada de Ruta Alternativa existe en la característica no-access y workdir del servidor AWS API MCP versiones &amp;gt;= 0.2.14 y &amp;lt; 1.3.9 en todas las plataformas, lo que puede permitir la omisión de la restricción de acceso a archivos prevista y exponer contenidos de archivos locales arbitrarios en el contexto de la aplicación cliente MCP.<br /> <br /> Para remediar este problema, los usuarios deben actualizar a la versión 1.3.9.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en AC8 de Tenda (CVE-2026-4252)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en Tenda AC8 16.03.50.11. Afectada por este problema es la función check_is_ipv6 del componente Gestor IPv6. La manipulación conduce a la dependencia de la dirección IP para la autenticación. Es posible iniciar el ataque remotamente. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/04/2026

Vulnerabilidad en CityChat de CityData (CVE-2026-4251)
Fecha de publicación:
16/03/2026
Idioma:
Español
Se determinó una vulnerabilidad en CityData CityChat hasta la versión 0.12.6 en Android. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo resources/assets/flutter_assets/assets/credentials.json del componente ai.citydata.citychat. Ejecutar una manipulación puede llevar al almacenamiento no protegido de credenciales. El ataque requiere acceso local. Un alto nivel de complejidad está asociado con este ataque. La explotación parece ser difícil. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
17/03/2026

Vulnerabilidad en GoBGP (CVE-2026-30405)
Fecha de publicación:
16/03/2026
Idioma:
Español
Un problema en GoBGP gobgpd v.4.2.0 permite a un atacante remoto causar una denegación de servicio a través del atributo de ruta NEXT_HOP.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

CVE-2025-54758
Fecha de publicación:
16/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2025. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
16/03/2026

Vulnerabilidad en módulo Courses/Work Assignments de gunet Open eClass (CVE-2025-65734)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una vulnerabilidad de carga arbitraria de archivos autenticada en el módulo de Cursos/Asignaciones de Trabajo de gunet Open eClass v3.11, y corregida en la v3.13, permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo SVG manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

CVE-2025-53517
Fecha de publicación:
16/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2025. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
16/03/2026

CVE-2025-53815
Fecha de publicación:
16/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2025. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
16/03/2026

Vulnerabilidad en Albert Health de Albert Sa?l?k Hizmetleri ve Ticaret (CVE-2026-4250)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en Albert Sa?l?k Hizmetleri ve Ticaret Albert Health hasta la versión 1.7.3 en Android. Afectada es una función desconocida del archivo resources/assets/service-account.json del componente Google Cloud Service Account Key Gestor. Realizar una manipulación resulta en almacenamiento no protegido de credenciales. El ataque requiere un enfoque local. La complejidad de un ataque es bastante alta. Se dice que la explotabilidad es difícil. El exploit ha sido hecho público y podría ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
17/03/2026

Vulnerabilidad en RAG API de LibreChat (CVE-2026-4276)
Fecha de publicación:
16/03/2026
Idioma:
Español
API RAG de LibreChat, versión 0.7.0, contiene una vulnerabilidad de inyección de registros que permite a los atacantes falsificar entradas de registro.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en plugin para WordPress Modern Events Calendar (CVE-2026-32583)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de autorización faltante en Webnus Inc. Modern Events Calendar permite la explotación de niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Modern Events Calendar: desde n/a hasta 7.29.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026
Suscribirse a Vulnerabilidades