Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-24834

Fecha de publicación:

19/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** Kata Containers is an open source project focusing on a standard implementation of lightweight Virtual Machines (VMs) that perform like containers. In versions prior to 3.27.0, an issue in Kata with Cloud Hypervisor allows a user of the container to modify the file system used by the Guest micro VM ultimately achieving arbitrary code execution as root in said VM. The current understanding is this doesn’t impact the security of the Host or of other containers / VMs running on that Host (note that arm64 QEMU lacks NVDIMM read-only support: It is believed that until the upstream QEMU gains this capability, a guest write could reach the image file). Version 3.27.0 patches the issue.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

23/02/2026

CVE-2026-1581

Fecha de publicación:

19/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** The wpForo Forum plugin for WordPress is vulnerable to time-based SQL Injection via the &#39;wpfob&#39; parameter in all versions up to, and including, 2.4.14 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.

Gravedad CVSS v3.1: ALTA

Última modificación:

20/02/2026

CVE-2025-69674

Fecha de publicación:

19/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** Buffer Overflow vulnerability in CDATA FD614GS3-R850 V3.2.7_P161006 (Build.0333.250211) allows an attacker to execute arbitrary code via the node_mac, node_opt, opt_param, and domainblk parameters of the mesh_node_config and domiainblk_config modules

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

23/02/2026

CVE-2025-69725

Fecha de publicación:

19/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** An Open Redirect vulnerability in the go-chi/chi >=5.2.2 RedirectSlashes function allows remote attackers to redirect victim users to malicious websites using the legitimate website domain.

Gravedad CVSS v3.1: MEDIA

Última modificación:

23/02/2026

CVE-2026-2274

Fecha de publicación:

19/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** A SSRF and Arbitrary File Read vulnerability in AppSheet Core in Google AppSheet prior to 2025-11-23 allows an authenticated remote attacker to read sensitive local files and access internal network resources via crafted requests to the production cluster. This vulnerability was patched and no customer action is needed.

Gravedad CVSS v4.0: ALTA

Última modificación:

20/02/2026

Vulnerabilidad en SPIP (CVE-2026-26345)

Fecha de publicación:

19/02/2026

Idioma:

Español

SPIP anterior a 4.4.8 permite cross-site scripting (XSS) en el área pública para ciertos patrones de uso de casos límite. La función echapper_html_suspect() no detecta adecuadamente todas las formas de contenido malicioso, permitiendo a un atacante inyectar scripts que se ejecutan en el navegador de un visitante. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.

Gravedad CVSS v4.0: ALTA

Última modificación:

23/02/2026

CVE-2026-25738

Fecha de publicación:

19/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** Indico is an event management system that uses Flask-Multipass, a multi-backend authentication system for Flask. Versions prior to 3.3.10 are vulnerable to server-side request forgery. Indico makes outgoing requests to user-provides URLs in various places. This is mostly intentional and part of Indico&#39;s functionality but is never intended to let users access "special" targets such as localhost or cloud metadata endpoints. Users should upgrade to version 3.3.10 to receive a patch. Those who do not have IPs that expose sensitive data without authentication (typically because they do not host Indico on AWS) are not affected. Only event organizers can access endpoints where SSRF could be used to actually see the data returned by such a request. For those who trust their event organizers, the risk is also very limited. For additional security, both before and after patching, one may also use the common proxy-related environment variables (in particular `http_proxy` and `https_proxy`) to force outgoing requests to go through a proxy that limits requests in whatever way you deem useful/necessary. These environment variables would need to be set both on the indico-uwsgi and indico-celery services.

Gravedad CVSS v4.0: MEDIA

Última modificación:

20/02/2026

CVE-2026-25739

Fecha de publicación:

19/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** Indico is an event management system that uses Flask-Multipass, a multi-backend authentication system for Flask. Versions prior to 3.3.10 are vulnerable to cross-site scripting when uploading certain file types as materials. Users should upgrade to version 3.3.10 to receive a patch. To apply the fix itself updating is sufficient, but to benefit from the strict Content Security Policy (CSP) Indico now applies by default for file downloads, update the webserver config in case one uses nginx with Indico&#39;s `STATIC_FILE_METHOD` set to `xaccelredirect`. For further directions, consult the GitHub Security advisory or Indico setup documentation. Some workarounds are available. Use the webserver config to apply a strict CSP for material download endpoints, and/or only let trustworthy users create content (including material uploads, which speakers can typically do as well) on Indico.

Gravedad CVSS v3.1: MEDIA

Última modificación:

20/02/2026

Vulnerabilidad en jsPDF (CVE-2026-25940)

Fecha de publicación:

19/02/2026

Idioma:

Español

jsPDF es una biblioteca para generar PDFs en JavaScript. Anterior a la versión 4.2.0, el control por parte del usuario de las propiedades y métodos del módulo Acroform permite a los usuarios inyectar objetos PDF arbitrarios, como acciones de JavaScript. Si se le da la posibilidad de pasar entrada no saneada a una de las siguientes propiedades, un usuario puede inyectar objetos PDF arbitrarios, como acciones de JavaScript, que se ejecutan cuando la víctima pasa el cursor sobre la opción de radio. La vulnerabilidad ha sido corregida en jsPDF@4.2.0. Como solución alternativa, sanee la entrada del usuario antes de pasarla a los miembros vulnerables de la API.

Gravedad CVSS v3.1: ALTA

Última modificación:

23/02/2026

Vulnerabilidad en SPIP (CVE-2026-26223)

Fecha de publicación:

19/02/2026

Idioma:

Español

SPIP anterior a 4.4.8 permite cross-site scripting (XSS) en el área privada a través de etiquetas iframe maliciosas. La aplicación no aísla correctamente en un sandbox ni escapa el contenido de iframe en el back-office, permitiendo a un atacante inyectar y ejecutar scripts maliciosos. La solución añade un atributo sandbox a las etiquetas iframe en el área privada. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.

Gravedad CVSS v4.0: MEDIA

Última modificación:

23/02/2026

CVE-2026-25766

Fecha de publicación:

19/02/2026

Idioma:

Inglés

*** Pendiente de traducción *** Echo is a Go web framework. In versions 5.0.0 through 5.0.2 on Windows, Echo’s `middleware.Static` using the default filesystem allows path traversal via backslashes, enabling unauthenticated remote file read outside the static root. In `middleware/static.go`, the requested path is unescaped and normalized with `path.Clean` (URL semantics). `path.Clean` does not treat `\` as a path separator, so `..\` sequences remain in the cleaned path. The resulting path is then passed to `currentFS.Open(...)`. When the filesystem is left at the default (nil), Echo uses `defaultFS` which calls `os.Open` (`echo.go:792`). On Windows, `os.Open` treats `\` as a path separator and resolves `..\`, allowing traversal outside the static root. Version 5.0.3 fixes the issue.

Gravedad CVSS v3.1: MEDIA

Última modificación:

23/02/2026