Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en MediaTek, Inc. (CVE-2026-20426)
Fecha de publicación:
02/03/2026
Idioma:
Español
En la visualización, hay una posible escritura fuera de límites debido a una comprobación de límites ausente. Esto podría conducir a una escalada de privilegios local si un actor malicioso ya ha obtenido el privilegio de Sistema. No se requiere interacción del usuario para la explotación. ID del parche: ALPS10320471; ID del problema: MSV-5538.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/03/2026

Vulnerabilidad en MediaTek, Inc. (CVE-2026-20427)
Fecha de publicación:
02/03/2026
Idioma:
Español
En la visualización, existe una posible escalada de privilegios debido a la falta de una comprobación de límites. Esto podría llevar a una escalada de privilegios local si un actor malicioso ya ha obtenido el privilegio de Sistema. No se necesita interacción del usuario para la explotación. ID del parche: ALPS10320471; ID del problema: MSV-5537.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/03/2026

Vulnerabilidad en U-Office Force (CVE-2026-3422)
Fecha de publicación:
02/03/2026
Idioma:
Español
U-Office Force desarrollado por e-Excellence tiene una vulnerabilidad de deserialización insegura, que permite a atacantes remotos no autenticados ejecutar código arbitrario en el servidor mediante el envío de contenido serializado maliciosamente manipulado.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en IDExpert Windows Logon Agent (CVE-2026-3000)
Fecha de publicación:
02/03/2026
Idioma:
Español
IDExpert Windows Logon Agent desarrollado por Changing tiene una vulnerabilidad de ejecución remota de código, que permite a atacantes remotos no autenticados forzar al sistema a descargar archivos DLL arbitrarios de una fuente remota y ejecutarlos.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en tsourcecode University Management System (CVE-2026-3413)
Fecha de publicación:
02/03/2026
Idioma:
Español
Se ha encontrado una falla en itsourcecode University Management System 1.0. Esta vulnerabilidad afecta a código desconocido del archivo /admin_single_student.PHP. Esta manipulación del argumento ID causa inyección SQL. El ataque es posible de llevar a cabo remotamente. El exploit ha sido publicado y puede ser usado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en IDExpert Windows Logon Agent (CVE-2026-2999)
Fecha de publicación:
02/03/2026
Idioma:
Español
El Agente de Inicio de Sesión de Windows IDExpert desarrollado por Changing tiene una vulnerabilidad de ejecución remota de código, que permite a atacantes remotos no autenticados forzar al sistema a descargar archivos ejecutables arbitrarios desde una fuente remota y ejecutarlos.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en SQLBot (CVE-2025-15597)
Fecha de publicación:
02/03/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Dataease SQLBot hasta 1.4.0. Esto afecta una función desconocida del archivo backend/apps/system/api/assistant.py del componente Endpoint de la API. Dicha manipulación conduce a controles de acceso inadecuados. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado. La actualización a la versión 1.5.0 mitiga este problema. El nombre del parche es d640ac31d1ce64ce90e06cf7081163915c9fc28c. Se recomienda actualizar el componente afectado. Múltiples endpoints están afectados. El proveedor fue contactado con antelación sobre esta divulgación.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en itsourcecode University Management System (CVE-2026-3412)
Fecha de publicación:
02/03/2026
Idioma:
Español
Se detectó una vulnerabilidad en itsourcecode University Management System 1.0. Esto afecta una parte desconocida del archivo /att_single_view.PHP. Al manipular el argumento dt se logra un cross site scripting. El ataque puede ser ejecutado en remoto. El exploit es ahora público y puede ser usado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en itsourcecode University Management System (CVE-2026-3410)
Fecha de publicación:
02/03/2026
Idioma:
Español
Se ha identificado una vulnerabilidad en itsourcecode Society Management System 1.0, la cual afeacta a una funcionalidad desconocida del archivo /admin/check_studid.php. Si se maipula el argumento student_id se puede provocar una inyección SQL. El ataque puede lanzarse de forma remota. El exploit se ha puesto a disposición del público y podría usarse para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en itsourcecode University Management System (CVE-2026-3411)
Fecha de publicación:
02/03/2026
Idioma:
Español
Se ha detectado una vulnerabilidad de seguridad en itsourcecode University Management System 1.0. La cual afecta a alguna funcionalidad desconocida del archivo /admin_single_student_update.PHP. Manipular el argumento ID provoca una inyección SQL. Es posible explotar el ataque en remoto. El exploit ha sido divulgado públicamente y puede ser usado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en Flow Import Endpoint (CVE-2026-3409)
Fecha de publicación:
02/03/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en eosphoros-ai db-gpt 0.7.5, la cual afecta a la función importlib.machinery.SourceFileLoader.exec_module del archivo /API/v1/serve/awel/flow/import del componente Flow Import Endpoint. Al manipular como parte de Archivo se provoca una inyección de código. El ataque puede ser iniciado en remoto. El exploit ha sido publicado al público y puede ser usado para ataques. Antes de divulgar esta vulnerabilidad se contactó con el proveedor, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en Open Babel (CVE-2026-3408)
Fecha de publicación:
02/03/2026
Idioma:
Español
Se ha descubierto una vulnerabilidad en Open Babel hasta 3.1.1, la cual afecta a la función OBAtom::GetExplicitValence del archivo isrc/atom.cpp del componente Gestor de Archivos CDXML. Si se manipula se provoca una desreferencia de puntero nulo. El ataque puede ser lanzado en remoto. El exploit está disponible públicamente y podría ser usado. El nombre del parche es e23a224b8fd9d7c2a7cde9ef4ec6afb4c05aa08a. Se recomienda aplicar un parche para resolver este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026
Suscribirse a Vulnerabilidades