Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en beautiful-mermaid (CVE-2026-26226)
Fecha de publicación:
13/02/2026
Idioma:
Español
Las versiones de beautiful-mermaid anteriores a la 0.1.3 contienen un problema de inyección de atributos SVG que puede llevar a cross-site scripting (XSS) al renderizar diagramas de Mermaid controlados por el atacante. Los valores controlados por el usuario de las directivas de estilo y classDef de Mermaid se interpolan en los valores de los atributos SVG sin un escape adecuado, permitiendo que una entrada manipulada escape de un contexto de atributo e inyecte elementos/atributos SVG arbitrarios en la salida renderizada. Cuando el SVG generado se incrusta en una página web, esto puede resultar en la ejecución de scripts en el contexto del origen de incrustación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en UPF de free5GC (CVE-2025-70122)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en el heap en el componente UPF de free5GC v4.0.1 permite a atacantes remotos causar una denegación de servicio a través de una Solicitud de Modificación de Sesión PFCP manipulada. El problema ocurre en la función SDFFilterFields.UnmarshalBinary (sdf-filter.go) al procesar una longitud declarada que excede la capacidad real del búfer, lo que lleva a un pánico en tiempo de ejecución y a un fallo del UPF.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en free5GC (CVE-2025-70123)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de validación de entrada incorrecta y de cumplimiento de protocolo en free5GC v4.0.1 permite a atacantes remotos causar una denegación de servicio. El UPF acepta incorrectamente una solicitud de configuración de asociación PFCP malformada, violando 3GPP TS 29.244. Esto coloca al UPF en un estado inconsistente donde una solicitud posterior válida de establecimiento de sesión PFCP desencadena un fallo en cascada, interrumpiendo la conexión SMF y causando degradación del servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en AMF de free5GC (CVE-2025-70121)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de índice de array fuera de límites en el componente AMF de free5GC v4.0.1 permite a atacantes remotos causar una denegación de servicio mediante una identidad móvil 5GS manipulada en un mensaje de solicitud de registro NAS. El problema ocurre en el método GetSUCI (NAS_MobileIdentity5GS.go) al acceder al índice 5 de un array de 5 elementos, lo que provoca un pánico en tiempo de ejecución y un bloqueo del AMF.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Genetec Sipelia (CVE-2025-1790)
Fecha de publicación:
13/02/2026
Idioma:
Español
Escalada de privilegios local en el plugin Genetec Sipelia. Un usuario de Windows autenticado con bajos privilegios podría explotar esta vulnerabilidad para obtener privilegios elevados en el sistema afectado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en OpenSourcePOS (CVE-2025-70095)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en la función de gestión de artículos y facturas de venta de OpenSourcePOS v3.4.1 permite a los atacantes ejecutar scripts web o HTML arbitrarios mediante la inyección de una carga útil manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2026

Vulnerabilidad en OnBase Workflow Timer Service (CVE-2026-26221)
Fecha de publicación:
13/02/2026
Idioma:
Español
Hyland OnBase contiene una exposición de .NET Remoting sin autenticación en el Servicio de Temporizador de Flujo de Trabajo de OnBase (Hyland.Core.Workflow.NTService.exe). Un atacante que puede alcanzar el servicio puede enviar solicitudes de .NET Remoting manipuladas a los puntos finales de canal HTTP predeterminados en TCP/8900 (p. ej., TimerServiceAPI.rem y TimerServiceEvents.rem para Flujo de Trabajo) para activar la deserialización insegura de objetos, lo que permite la lectura/escritura arbitraria de archivos. Al escribir contenido controlado por el atacante en ubicaciones accesibles por la web o encadenando con otras características de OnBase, esto puede llevar a la ejecución remota de código. La misma primitiva puede ser abusada al proporcionar una ruta UNC para forzar la autenticación NTLM saliente (coerción SMB) a un host controlado por el atacante.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en OpenSourcePOS (CVE-2025-70091)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en la función Clientes de OpenSourcePOS v3.4.1 permite a los atacantes ejecutar scripts web o HTML arbitrarios mediante la inyección de una carga útil diseñada en el parámetro Número de Teléfono.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2026

Vulnerabilidad en OpenSourcePOS (CVE-2025-70093)
Fecha de publicación:
13/02/2026
Idioma:
Español
Un problema en OpenSourcePOS v3.4.1 permite a los atacantes ejecutar código arbitrario mediante la devolución de una respuesta AJAX manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2026

Vulnerabilidad en OpenSourcePOS (CVE-2025-70094)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en la función Generate Item Barcode de OpenSourcePOS v3.4.1 permite a los atacantes ejecutar scripts web o HTML arbitrarios mediante la inyección de una carga útil diseñada específicamente en el parámetro Item Category.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2026

Vulnerabilidad en Kanboard (CVE-2026-25531)
Fecha de publicación:
13/02/2026
Idioma:
Español
Kanboard es un software de gestión de proyectos enfocado en la metodología Kanban. Antes de 1.2.50, la corrección para CVE-2023-33968 es incompleta. El endpoint TaskCreationController::duplicateProjects() no valida los permisos de usuario para los proyectos de destino, permitiendo a los usuarios autenticados duplicar tareas en proyectos a los que no pueden acceder. Esta vulnerabilidad está corregida en 1.2.50.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2026

Vulnerabilidad en HP App (CVE-2026-1578)
Fecha de publicación:
13/02/2026
Idioma:
Español
La aplicación HP para Android es potencialmente vulnerable a cross-site scripting (XSS) al usar una versión desactualizada de la aplicación a través de dispositivos móviles. HP está lanzando actualizaciones para mitigar estas vulnerabilidades potenciales.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades