Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Calibre de Kovidgoyal (CVE-2026-25635)
Fecha de publicación:
06/02/2026
Idioma:
Español
calibre es un gestor de libros electrónicos. Antes de la 9.2.0, el lector CHM de Calibre contiene una vulnerabilidad de salto de ruta que permite la escritura arbitraria de archivos en cualquier lugar donde el usuario tenga permisos de escritura. En Windows (no se ha probado en otros sistemas operativos), esto puede llevar a la ejecución remota de código escribiendo una carga útil en la carpeta de Inicio, que se ejecuta en el siguiente inicio de sesión. Esta vulnerabilidad se corrigió en la 9.2.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2026

Vulnerabilidad en Qdrant (CVE-2026-25628)
Fecha de publicación:
06/02/2026
Idioma:
Español
Qdrant es un motor de búsqueda de similitud vectorial y una base de datos vectorial. Desde la versión 1.9.3 hasta antes de la 1.16.0, es posible añadir contenido a archivos arbitrarios a través del endpoint /logger utilizando una ruta on_disk.log_file controlada por el atacante. Se requieren privilegios mínimos (acceso de solo lectura). Esta vulnerabilidad está corregida en la versión 1.16.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en n8n de n8n-io (CVE-2026-25631)
Fecha de publicación:
06/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de la versión 1.121.0, existe una vulnerabilidad en la validación de dominio de credenciales del nodo de Solicitud HTTP que permitía a un atacante autenticado enviar solicitudes con credenciales a dominios no deseados, lo que podría llevar a la exfiltración de credenciales. Esto solo podría afectar a usuarios que tienen credenciales que utilizan patrones de dominio comodín (por ejemplo, *.example.com) en la configuración de 'Dominios permitidos'. Este problema está solucionado en la versión 1.121.0 y posteriores.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-25634)
Fecha de publicación:
06/02/2026
Idioma:
Español
iccDEV proporciona un conjunto de librerías y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color ICC. Antes de la versión 2.3.1.4, los búferes de pila SrcPixel y DestPixel se superponen en CIccTagMultiProcessElement::Apply() en IccTagMPE.cpp. Esta vulnerabilidad se corrige en la versión 2.3.1.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en EPyT-Flow de WaterFutures (CVE-2026-25632)
Fecha de publicación:
06/02/2026
Idioma:
Español
EPyT-Flow es un paquete de Python diseñado para la fácil generación de datos de escenarios hidráulicos y de calidad del agua de redes de distribución de agua. Antes de la versión 0.16.1, la API REST de EPyT-Flow analiza cuerpos de solicitud JSON controlados por el atacante utilizando un deserializador personalizado (my_load_from_json) que soporta un campo type. Cuando type está presente, el deserializador importa dinámicamente un módulo/clase especificado por el atacante y lo instancia con argumentos proporcionados por el atacante. Esto permite invocar clases peligrosas como subprocess.Popen, lo que puede llevar a la ejecución de comandos del sistema operativo durante el análisis JSON. Esto también afecta la carga de archivos JSON. Esta vulnerabilidad está corregida en la versión 0.16.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/03/2026

Vulnerabilidad en SCEditor (CVE-2026-25581)
Fecha de publicación:
06/02/2026
Idioma:
Español
SCEditor es un editor WYSIWYG BBCode y XHTML ligero. Antes de la 3.2.1, si un atacante tiene la capacidad de controlar las opciones de configuración pasadas a sceditor.create(), como emoticonos, charset, etc., entonces es posible que desencadenen un ataque XSS debido a la falta de saneamiento de las opciones de configuración. Esta vulnerabilidad está corregida en la 3.2.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en OpenClaw (CVE-2026-25593)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenClaw es un asistente personal de IA. Antes de la versión 2026.1.20, un cliente local no autenticado podía usar la API WebSocket de Gateway para escribir la configuración a través de config.apply y establecer valores inseguros de cliPath que luego se usaban para el descubrimiento de comandos, lo que permitía la inyección de comandos como el usuario de gateway. Esta vulnerabilidad está corregida en la versión 2026.1.20.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en Pydantic-ai (CVE-2026-25580)
Fecha de publicación:
06/02/2026
Idioma:
Español
Pydantic AI es un framework de agente Python para construir aplicaciones y flujos de trabajo con IA Generativa. Desde la 0.0.26 hasta antes de la 1.56.0, existe una vulnerabilidad de Server-Side Request Forgery (SSRF) en la funcionalidad de descarga de URL de Pydantic AI. Cuando las aplicaciones aceptan el historial de mensajes de fuentes no confiables, los atacantes pueden incluir URL maliciosas que hacen que el servidor realice solicitudes HTTP a recursos de red internos, accediendo potencialmente a servicios internos o credenciales en la nube. Esta vulnerabilidad solo afecta a aplicaciones que aceptan el historial de mensajes de usuarios externos. Esta vulnerabilidad está corregida en la 1.56.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en PrestaShop (CVE-2026-25597)
Fecha de publicación:
06/02/2026
Idioma:
Español
PrestaShop es una aplicación web de comercio electrónico de código abierto. Antes de 8.2.4 y 9.0.3, existe una vulnerabilidad de enumeración de usuarios basada en tiempo en la funcionalidad de autenticación de usuarios de PrestaShop. Esta vulnerabilidad permite a un atacante determinar si una cuenta de cliente existe en el sistema midiendo los tiempos de respuesta. Esta vulnerabilidad está corregida en 8.2.4 y 9.0.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en Semantic-kernel de Microsoft (CVE-2026-25592)
Fecha de publicación:
06/02/2026
Idioma:
Español
Semantic Kernel es un SDK utilizado para construir, orquestar y desplegar agentes de IA y sistemas multiagente. Antes de la versión 1.70.0, se ha identificado una vulnerabilidad de escritura arbitraria de archivos en el SDK .NET de Semantic Kernel de Microsoft, específicamente dentro del SessionsPythonPlugin. El problema ha sido solucionado en la versión 1.70.0 de Microsoft.SemanticKernel.Core. Como mitigación, los usuarios pueden crear un Filtro de Invocación de Función que verifica los argumentos que se pasan a cualquier llamada a DownloadFileAsync o UploadFileAsync y asegura que el localFilePath proporcionado esté en una lista de permitidos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en i-Educar de Portabilis (CVE-2026-2064)
Fecha de publicación:
06/02/2026
Idioma:
Español
Una vulnerabilidad fue identificada en Portabilis i-Educar hasta 2.10. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /intranet/meusdadod.php del componente Página de Datos de Usuario. Tal manipulación del argumento File lleva a cross-site scripting. Es posible lanzar el ataque remotamente. El exploit está públicamente disponible y podría ser usado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en smART Pixelator de Flycatcher Toys (CVE-2026-2065)
Fecha de publicación:
06/02/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en Flycatcher Toys smART Pixelator 2.0. Este problema afecta a alguna funcionalidad desconocida del componente Interfaz Bluetooth de Baja Energía. Al realizar una manipulación, se produce una falta de autenticación. El ataque solo puede realizarse desde la red local. El exploit ha sido publicado y puede ser utilizado para ataques. Se contactó con el proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/03/2026
Suscribirse a Vulnerabilidades