Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Splunk (CVE-2026-20164)
Fecha de publicación:
11/03/2026
Idioma:
Español
En las versiones de Splunk Enterprise anteriores a la 10.2.0, 10.0.3, 9.4.9 y 9.3.10, y en las versiones de Splunk Cloud Platform anteriores a la 10.2.2510.5, 10.1.2507.16, 10.0.2503.11 y 9.3.2411.123, un usuario con privilegios bajos que no posee los roles de Splunk 'admin' o 'power' podría acceder al endpoint de la API REST `/splunkd/__raw/servicesNS/-/-/configs/conf-passwords`, que expone los valores de contraseña con hash o en texto plano que se almacenan en el archivo de configuración passwords.conf debido a un control de acceso inadecuado. Esta vulnerabilidad podría permitir la divulgación no autorizada de credenciales sensibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Splunk (CVE-2026-20165)
Fecha de publicación:
11/03/2026
Idioma:
Español
En las versiones de Splunk Enterprise anteriores a 10.2.1, 10.0.4, 9.4.9 y 9.3.10, y en las versiones de Splunk Cloud Platform anteriores a 10.2.2510.7, 10.1.2507.17, 10.0.2503.12 y 9.3.2411.124, un usuario con privilegios bajos que no posee los roles de Splunk 'admin' o 'power' podría recuperar información sensible al inspeccionar el registro de búsqueda del trabajo debido a un control de acceso inadecuado en el canal de registro de MongoClient.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Cisco IOS XR Software (CVE-2026-20046)
Fecha de publicación:
11/03/2026
Idioma:
Español
Una vulnerabilidad en la asignación de grupos de tareas para un comando CLI específico en el software Cisco IOS XR podría permitir a un atacante local autenticado elevar privilegios y obtener control administrativo total de un dispositivo afectado.<br /> <br /> Esta vulnerabilidad se debe a un mapeo incorrecto de un comando a grupos de tareas dentro del código fuente. Un atacante con una cuenta de bajos privilegios podría explotar esta vulnerabilidad usando el comando CLI para eludir las comprobaciones basadas en grupos de tareas. Un exploit exitoso podría permitir al atacante elevar privilegios y realizar acciones en un dispositivo afectado sin comprobaciones de autorización.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en Cisco IOS XR Software (CVE-2026-20074)
Fecha de publicación:
11/03/2026
Idioma:
Español
Una vulnerabilidad en la función de enrutamiento multi-instancia de Intermediate System-to-Intermediate System (IS-IS) de Cisco IOS XR Software podría permitir a un atacante no autenticado y adyacente causar que el proceso IS-IS se reinicie inesperadamente.<br /> <br /> Esta vulnerabilidad se debe a una validación de entrada insuficiente de los paquetes IS-IS de entrada. Un atacante podría explotar esta vulnerabilidad enviando paquetes IS-IS manipulados a un dispositivo afectado después de formar una adyacencia. Un exploit exitoso podría permitir al atacante causar que el proceso IS-IS se reinicie inesperadamente, lo que resultaría en una pérdida temporal de conectividad a las redes anunciadas y una condición de denegación de servicio (DoS).<br /> Nota: El protocolo IS-IS es un protocolo de enrutamiento. Para explotar esta vulnerabilidad, un atacante debe ser adyacente en Capa 2 al dispositivo afectado y debe haber formado una adyacencia.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en Cisco Unified Contact Center Express (CVE-2026-20116)
Fecha de publicación:
11/03/2026
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión basada en web de Cisco Finesse, Cisco Packaged Contact Center Enterprise (Packaged CCE), Cisco Unified Contact Center Enterprise (Unified CCE), Cisco Unified Contact Center Express (Unified CCX) y Cisco Unified Intelligence Center podría permitir a un atacante remoto no autenticado realizar ataques de cross-site scripting (XSS) contra un usuario de la interfaz.<br /> <br /> Esta vulnerabilidad existe porque la interfaz de gestión basada en web de un sistema afectado no valida suficientemente la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad inyectando código malicioso en páginas específicas de la interfaz. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información sensible basada en el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en Cisco Unified Contact Center Express (CVE-2026-20117)
Fecha de publicación:
11/03/2026
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión basada en web de Cisco Unified Contact Center Express (Unified CCX) podría permitir a un atacante remoto no autenticado realizar ataques de cross-site scripting (XSS) contra un usuario de la interfaz.<br /> <br /> Esta vulnerabilidad existe porque la interfaz de gestión basada en web de un sistema afectado no valida suficientemente la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad inyectando código malicioso en páginas específicas de la interfaz. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información sensible basada en el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en Enterprise edition de Neo4j (CVE-2026-1471)
Fecha de publicación:
11/03/2026
Idioma:
Español
El almacenamiento en caché excesivo del contexto de autenticación en versiones de Neo4j Enterprise edition anteriores a 2026.01.4 lleva a que los usuarios autenticados hereden el contexto del primer usuario que se autenticó después del reinicio. El problema se limita a ciertas configuraciones no predeterminadas de SSO (punto final UserInfo). Recomendamos actualizar a las versiones 2026.01.4 (o 5.26.22) donde el problema está solucionado.
Gravedad CVSS v4.0: BAJA
Última modificación:
12/03/2026

Vulnerabilidad en Enterprise Edition de neo4j (CVE-2026-1524)
Fecha de publicación:
11/03/2026
Idioma:
Español
Un caso límite en la implementación de SSO en versiones de Neo4j Enterprise edition anteriores a la versión 2026.02 puede llevar a un acceso no autorizado bajo las siguientes condiciones:<br /> <br /> Si un administrador de Neo4j configura dos o más proveedores OIDC Y configura uno o más de ellos como proveedor de autorización Y configura uno o más de ellos para ser solo de autenticación, entonces aquellos que son solo de autenticación también proporcionarán autorización. Este caso límite se convierte en un problema de seguridad solo si el proveedor solo de autenticación contiene grupos que tienen privilegios más altos que los proporcionados por el proveedor de autorización previsto (configurado).<br /> <br /> Al usar múltiples plugins para autenticación y autorización, antes de la corrección, el problema podría llevar a que un plugin configurado para proporcionar solo capacidades de autenticación o autorización proporcionara erróneamente ambas capacidades.<br /> <br /> Recomendamos actualizar a las versiones 2026.02 (o 5.26.22) donde el problema está corregido.
Gravedad CVSS v4.0: BAJA
Última modificación:
12/03/2026

Vulnerabilidad en Cisco IOS XR Software (CVE-2026-20040)
Fecha de publicación:
11/03/2026
Idioma:
Español
Una vulnerabilidad en la CLI de Cisco IOS XR Software podría permitir a un atacante autenticado y local ejecutar comandos arbitrarios como root en el sistema operativo subyacente de un dispositivo afectado.<br /> <br /> Esta vulnerabilidad se debe a una validación insuficiente de los argumentos de usuario que se pasan a comandos específicos de la CLI. Un atacante con una cuenta de bajo privilegio podría explotar esta vulnerabilidad utilizando comandos manipulados en el indicador. Un exploit exitoso podría permitir al atacante elevar los privilegios a root y ejecutar comandos arbitrarios en el sistema operativo subyacente.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en Lantronix EDS3000PS (CVE-2025-70082)
Fecha de publicación:
11/03/2026
Idioma:
Español
Un problema en Lantronix EDS3000PS v.3.1.0.0R2 permite a un atacante ejecutar código arbitrario y obtener información sensible a través del componente ltrx_evo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/03/2026

Vulnerabilidad en Microsoft DirectX (CVE-2025-68623)
Fecha de publicación:
11/03/2026
Idioma:
Español
En Microsoft DirectX End-User Runtime Web Installer 9.29.1974.0, un usuario con pocos privilegios puede reemplazar un archivo ejecutable durante el proceso de instalación, lo que puede resultar en una elevación de privilegios no intencionada. Durante la instalación, el instalador se ejecuta con integridad ALTA y descarga ejecutables y DLL a la carpeta %TEMP% - escribible por usuarios estándar. Posteriormente, el instalador ejecuta el ejecutable descargado con integridad ALTA para completar la instalación de la aplicación. Sin embargo, un atacante puede reemplazar el ejecutable descargado con un ejecutable malicioso controlado por el usuario. Cuando el instalador ejecuta este archivo reemplazado, ejecuta el código del atacante con integridad ALTA. Dado que el código que se ejecuta con integridad ALTA puede escalar al nivel SYSTEM al registrar y ejecutar un servicio, esto crea una cadena completa de escalada de privilegios de usuario estándar a SYSTEM. NOTA: El proveedor disputa este registro afirmando que han determinado que este es el comportamiento diseñado.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en Lantronix EDS3000PS (CVE-2025-67041)
Fecha de publicación:
11/03/2026
Idioma:
Español
Se descubrió un problema en Lantronix EDS3000PS 3.1.0.0R2. El parámetro host del cliente TFTP en la página del navegador de archivos no se sanea correctamente. Esto puede explotarse para escapar del comando original y ejecutar uno arbitrario con privilegios de root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/03/2026
Suscribirse a Vulnerabilidades