Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Network M3 (CVE-2026-22613)
Fecha de publicación:
09/02/2026
Idioma:
Español
El mecanismo de verificación de identidad del servidor para la actualización del firmware realizada a través del shell de comandos está implementado de forma insegura, lo que podría permitir a un atacante realizar un ataque man-in-the-middle. Este problema de seguridad ha sido solucionado en la última versión del firmware de Eaton Network M3, que está disponible en el centro de descargas de Eaton.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en WeRSS we-mp-rss (CVE-2026-2215)
Fecha de publicación:
09/02/2026
Idioma:
Español
Una vulnerabilidad fue detectada en rachelos WeRSS we-mp-rss hasta la versión 1.4.8. Este problema afecta a un procesamiento desconocido del archivo core/auth.py del componente JWT Handler. Realizar una manipulación del argumento SECRET_KEY resulta en el uso de una clave criptográfica predeterminada. El ataque puede iniciarse de forma remota. El ataque se considera de alta complejidad. La explotabilidad se evalúa como difícil. El exploit ahora es público y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en Online Music Site (CVE-2026-2213)
Fecha de publicación:
09/02/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en code-projects Online Music Site 1.0. Afectada por este problema está alguna funcionalidad desconocida del archivo /Administrator/PHP/AdminAddAlbum.php. La manipulación del argumento txtimage resulta en una carga sin restricciones. El ataque puede realizarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en code-projects (CVE-2026-2214)
Fecha de publicación:
09/02/2026
Idioma:
Español
Se ha identificado una debilidad en code-projects para el Plugin 1.0. Esto afecta a una parte desconocida del archivo /Administrator/PHP/AdminAddAlbum.php. Esta manipulación del argumento txtalbum causa cross site scripting. Es posible iniciar el ataque remotamente. El exploit se ha hecho público y podría ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/02/2026

Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66598)
Fecha de publicación:
09/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation.<br /> <br /> Este producto soporta versiones antiguas de SSL/TLS, lo que podría permitir a un atacante descifrar las comunicaciones con el servidor web.<br /> <br /> Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
Gravedad CVSS v4.0: ALTA
Última modificación:
06/03/2026

Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66597)
Fecha de publicación:
09/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation.<br /> <br /> Este producto soporta algoritmos criptográficos débiles, lo que podría permitir a un atacante descifrar las comunicaciones con el servidor web.<br /> <br /> Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
Gravedad CVSS v4.0: ALTA
Última modificación:
06/03/2026

Vulnerabilidad en jsonpath (CVE-2026-1615)
Fecha de publicación:
09/02/2026
Idioma:
Español
Todas las versiones del paquete jsonpath son vulnerables a Inyección de Código Arbitrario a través de la evaluación insegura de expresiones JSON Path proporcionadas por el usuario. La biblioteca se basa en el módulo static-eval para procesar la entrada JSON Path, el cual no está diseñado para manejar datos no confiables de forma segura. Un atacante puede explotar esta vulnerabilidad al proporcionar una expresión JSON Path maliciosa que, al ser evaluada, ejecuta código JavaScript arbitrario, lo que lleva a Ejecución Remota de Código en entornos Node.js o Cross-site scripting (XSS) en contextos de navegador. Esto afecta a todos los métodos que evalúan JSON Paths contra objetos, incluyendo .query, .nodes, .paths, .value, .parent y .apply.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
07/04/2026

Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66595)
Fecha de publicación:
09/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation.<br /> <br /> Este producto es vulnerable a falsificación de petición en sitios cruzados (CSRF). Cuando un usuario accede a un enlace diseñado por un atacante, la cuenta del usuario podría verse comprometida.<br /> <br /> Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/03/2026

Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66596)
Fecha de publicación:
09/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation.<br /> <br /> Este producto no valida correctamente los encabezados de solicitud. Cuando un atacante inserta un encabezado de host no válido, los usuarios podrían ser redirigidos a sitios maliciosos.<br /> <br /> Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/03/2026

Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66594)
Fecha de publicación:
09/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation.<br /> <br /> Mensajes detallados se muestran en la página de error. Esta información podría ser explotada por un atacante para otros ataques.<br /> <br /> Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/03/2026

Vulnerabilidad en Online Music Site de code-projects (CVE-2026-2211)
Fecha de publicación:
09/02/2026
Idioma:
Español
Una vulnerabilidad fue determinada en code-projects Online Music Site 1.0. Afectada es una función desconocida del archivo /Administrator/PHP/AdminDeleteCategory.php. La ejecución de una manipulación del argumento ID puede llevar a inyección SQL. El ataque puede ser ejecutado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Online Music Site de code-projects (CVE-2026-2212)
Fecha de publicación:
09/02/2026
Idioma:
Español
Una vulnerabilidad fue identificada en code-projects Online Music Site 1.0. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /Administrator/PHP/AdminEditCategory.php. La manipulación del argumento ID conduce a inyección SQL. El ataque es posible de llevar a cabo remotamente. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/02/2026
Suscribirse a Vulnerabilidades