Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Open eClass platform (CVE-2026-24671)
Fecha de publicación:
03/02/2026
Idioma:
Español
La plataforma Open eClass (anteriormente conocida como GUnet eClass) es un sistema completo de gestión de cursos. Antes de la versión 4.2, una vulnerabilidad de cross-site scripting almacenado (XSS) permite a usuarios autenticados con altos privilegios (profesores o administradores) inyectar JavaScript malicioso en múltiples campos de entrada controlables por el usuario en toda la aplicación, que se ejecuta cuando otros usuarios acceden a las páginas afectadas. Este problema ha sido parcheado en la versión 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Open eClass platform (CVE-2026-24672)
Fecha de publicación:
03/02/2026
Idioma:
Español
La plataforma Open eClass (anteriormente conocida como GUnet eClass) es un sistema completo de gestión de cursos. Antes de la versión 4.2, una vulnerabilidad de cross-site scripting (XSS) almacenado permite a estudiantes autenticados inyectar JavaScript malicioso en campos de perfil de usuario, que se ejecuta cuando usuarios con privilegios de visualización acceden a páginas afectadas de la aplicación. Este problema ha sido parcheado en la versión 4.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en Open eClass (CVE-2026-24670)
Fecha de publicación:
03/02/2026
Idioma:
Español
La plataforma Open eClass (anteriormente conocida como GUnet eClass) es un sistema completo de gestión de cursos. Antes de la versión 4.2, una vulnerabilidad de control de acceso roto permite a los estudiantes autenticados crear nuevas unidades de curso, una acción normalmente restringida a roles con mayores privilegios. Este problema ha sido parcheado en la versión 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Open eClass (CVE-2026-24668)
Fecha de publicación:
03/02/2026
Idioma:
Español
La plataforma Open eClass (anteriormente conocida como GUnet eClass) es un sistema completo de gestión de cursos. Antes de la versión 4.2, una vulnerabilidad de control de acceso roto permite a los estudiantes autenticados añadir contenido a unidades de curso existentes, una acción normalmente restringida a roles con mayores privilegios. Este problema ha sido parcheado en la versión 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Open eClass (CVE-2026-24669)
Fecha de publicación:
03/02/2026
Idioma:
Español
La plataforma Open eClass (anteriormente conocida como GUnet eClass) es un sistema completo de gestión de cursos. Antes de la versión 4.2, un mecanismo inseguro de restablecimiento de contraseña permite a atacantes locales reutilizar un token válido de restablecimiento de contraseña después de que ya ha sido utilizado, posibilitando cambios de contraseña no autorizados y una posible toma de control de la cuenta. Este problema ha sido parcheado en la versión 4.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en Open eClass (CVE-2026-24664)
Fecha de publicación:
03/02/2026
Idioma:
Español
La plataforma Open eClass (anteriormente conocida como GUnet eClass) es un sistema completo de gestión de cursos. Antes de la versión 4.2, una vulnerabilidad de enumeración de nombres de usuario permite a atacantes no autenticados identificar cuentas de usuario válidas analizando diferencias en el comportamiento de la respuesta de inicio de sesión. Este problema ha sido parcheado en la versión 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Open eClass (CVE-2026-24665)
Fecha de publicación:
03/02/2026
Idioma:
Español
La plataforma Open eClass (anteriormente conocida como GUnet eClass) es un sistema completo de gestión de cursos. Antes de la versión 4.2, una vulnerabilidad de cross-site scripting (XSS) almacenado permite a los estudiantes autenticados inyectar JavaScript malicioso en los archivos de tareas subidos, que se ejecuta cuando los instructores ven la entrega. Este problema ha sido parcheado en la versión 4.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en Open eClass (CVE-2026-24666)
Fecha de publicación:
03/02/2026
Idioma:
Español
La plataforma Open eClass (anteriormente conocida como GUnet eClass) es un sistema completo de gestión de cursos. Antes de la versión 4.2, una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en múltiples puntos finales restringidos para profesores permite a los atacantes inducir a profesores autenticados a realizar acciones no intencionadas, como modificar las calificaciones de las tareas, a través de peticiones manipuladas. Este problema ha sido parcheado en la versión 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Open eClass (CVE-2026-24667)
Fecha de publicación:
03/02/2026
Idioma:
Español
La plataforma Open eClass (anteriormente conocida como GUnet eClass) es un sistema completo de gestión de cursos. Antes de la versión 4.2, la falta de invalidación de las sesiones de usuario activas después de un cambio de contraseña permite que los tokens de sesión existentes sigan siendo válidos, lo que podría permitir el acceso continuado no autorizado a las cuentas de usuario. Este problema ha sido parcheado en la versión 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en TP-Link Archer (CVE-2026-22220)
Fecha de publicación:
03/02/2026
Idioma:
Español
Una falta de validación de entrada adecuada en la ruta de procesamiento HTTP en TP-Link Archer BE230 v1.2 (módulos web) puede permitir que una solicitud manipulada cause que el servicio web del dispositivo deje de responder, lo que resulta en una condición de denegación de servicio. Un atacante adyacente a la red con privilegios elevados podría causar que la interfaz web del dispositivo deje de responder temporalmente hasta que se recupere o se reinicie.<br /> Este problema afecta a Archer BE230 v1.2 &amp;lt; 1.2.4 Build 20251218 rel.70420.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/02/2026

Vulnerabilidad en TP-Link Archer (CVE-2026-22228)
Fecha de publicación:
03/02/2026
Idioma:
Español
Un usuario autenticado con privilegios elevados puede desencadenar una condición de denegación de servicio en el TP-Link Archer BE230 v1.2 al restaurar un archivo de configuración manipulado que contiene un parámetro excesivamente largo. La restauración de dicho archivo puede hacer que el dispositivo deje de responder, lo que requiere un reinicio para restaurar el funcionamiento normal.<br /> Este problema afecta a Archer BE230 v1.2 &amp;lt; 1.2.4 Build 20251218 rel.70420.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/02/2026

Vulnerabilidad en Creativeitem Academy LMS (CVE-2025-71179)
Fecha de publicación:
03/02/2026
Idioma:
Español
Creativeitem Academy LMS 7.0 contiene vulnerabilidades de cross-site scripting (XSS) reflejado a través del parámetro search en el endpoint /academy/blogs, y del parámetro string en el endpoint /academy/course_bundles/search/query. Estas vulnerabilidades son distintas del parche para CVE-2023-4119, que solo corrigió XSS en los parámetros query y sort_by en el endpoint /academy/home/courses.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026
Suscribirse a Vulnerabilidades