Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Axigen Mail Server (CVE-2025-68722)
Fecha de publicación:
05/02/2026
Idioma:
Español
Axigen Mail Server antes de 10.5.57 y 10.6.x antes de 10.6.26 contiene una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en la interfaz WebAdmin debido a un manejo inadecuado del parámetro _s (breadcrumb). La aplicación acepta peticiones que cambian el estado a través del método GET y procesa automáticamente comandos codificados en base64 en cola en el parámetro _s inmediatamente después de la autenticación del administrador. Los atacantes pueden crear URL maliciosas que, cuando son clicadas por administradores, ejecutan acciones administrativas arbitrarias al iniciar sesión sin interacción adicional del usuario, incluyendo la creación de cuentas de administrador maliciosas o la modificación de configuraciones críticas del servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en phpMyChat Plus de Ciprianmp (CVE-2020-37151)
Fecha de publicación:
05/02/2026
Idioma:
Español
phpMyChat Plus 1.98 contiene una vulnerabilidad de inyección SQL en la página deluser.php a través del parámetro pmc_username que permite a los atacantes manipular consultas de base de datos. Los atacantes pueden explotar técnicas de inyección SQL ciega basadas en booleanos, basadas en errores y basadas en tiempo para extraer información sensible de la base de datos mediante la creación de cargas útiles maliciosas en el campo de nombre de usuario.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en IBM (CVE-2025-14150)
Fecha de publicación:
05/02/2026
Idioma:
Español
IBM webMethods Integration (en las instalaciones) - Servidor de Integración 10.15 desde IS_10.15_Core_Fix2411.1 hasta IS_11.1_Core_Fix8 IBM webMethods Integration podría divulgar información sensible del usuario en las respuestas del servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Digitek ADT1100 y Digitek DT950 de PRIMION DIGITEK, S.L.U (CVE-2026-1523)
Fecha de publicación:
05/02/2026
Idioma:
Español
Vulnerabilidad de recorrido de rutas en Digitek ADT1100 y Digitek DT950 de PRIMION DIGITEK, S.L.U (Grupo Azkoyen). Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el sistema de archivos del servidor, es decir, 'http:///..%2F..% 2F..%2F..%2F..% 2F..%2F..%2F..%2F..%2Fetc%2 Fpasswd'. Al manipular la entrada para incluir secuencias de recorrido de directorios codificadas en URL (por ejemplo, %2F que representa /), un atacante puede eludir los mecanismos de validación de entradas y recuperar archivos confidenciales fuera del directorio previsto, lo que podría dar lugar a la divulgación de información o a un mayor compromiso del sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Greenshift (CVE-2026-1927)
Fecha de publicación:
05/02/2026
Idioma:
Español
El plugin Greenshift – bloques de animación y constructor de páginas para WordPress es vulnerable a acceso no autorizado a datos debido a una comprobación de capacidad faltante en la función greenshift_app_pass_validation() en todas las versiones hasta la 12.5.7, ambas inclusive. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, recuperen configuraciones globales del plugin, incluyendo claves API de IA almacenadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Aspera Console de IBM (CVE-2025-13379)
Fecha de publicación:
05/02/2026
Idioma:
Español
IBM Aspera Console 3.4.0 hasta 3.4.8 es vulnerable a inyección SQL. Un atacante remoto podría enviar sentencias SQL especialmente diseñadas, lo que podría permitir al atacante ver, añadir, modificar o eliminar información en la base de datos de back-end.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2026

Vulnerabilidad en IBM (CVE-2025-13491)
Fecha de publicación:
05/02/2026
Idioma:
Español
IBM App Connect Enterprise Contenedor Certificado hasta 12.19.0 (Continuous Delivery) y 12.0 LTS (Long Term Support) podría permitir a un atacante acceder a archivos sensibles o modificar configuraciones debido a una ruta de búsqueda no confiable.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Quick.Cart de OpenSolution (CVE-2026-23796)
Fecha de publicación:
05/02/2026
Idioma:
Español
Quick.Cart permite que el identificador de sesión de un usuario se establezca antes de la autenticación. El valor de este ID de sesión permanece igual después de la autenticación. Este comportamiento permite a un atacante fijar un ID de sesión para una víctima y luego secuestrar la sesión autenticada.<br /> <br /> El proveedor fue notificado con antelación sobre esta vulnerabilidad, pero no respondió con los detalles de la vulnerabilidad o el rango de versiones vulnerables. Solo la versión 6.7 fue probada y confirmada como vulnerable; otras versiones no fueron probadas y también podrían ser vulnerables.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en Quick.Cart de OpenSolution (CVE-2026-23797)
Fecha de publicación:
05/02/2026
Idioma:
Español
En Quick.Cart, las contraseñas de usuario se almacenan en formato de texto plano. Un atacante con privilegios elevados puede mostrar las contraseñas de los usuarios en la página de edición de usuarios.<br /> <br /> El proveedor fue notificado tempranamente sobre esta vulnerabilidad, pero no respondió con los detalles de la vulnerabilidad o el rango de versiones vulnerables. Solo la versión 6.7 fue probada y confirmada como vulnerable; otras versiones no fueron probadas y también podrían ser vulnerables.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en YugabyteDB Anywhere de YugabyteDB Inc (CVE-2026-1966)
Fecha de publicación:
05/02/2026
Idioma:
Español
YugabyteDB Anywhere muestra las contraseñas de enlace LDAP configuradas a través de gflags en texto claro dentro de la interfaz de usuario web. Un usuario autenticado con acceso a la vista de configuración podría obtener las credenciales LDAP, lo que podría permitir el acceso no autorizado a servicios de directorio externos.
Gravedad CVSS v4.0: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en TeamViewer (CVE-2026-23572)
Fecha de publicación:
05/02/2026
Idioma:
Español
Control de acceso inadecuado en los clientes TeamViewer Full y Host (Windows, macOS, Linux) anterior a la versión 15.74.5 permite a un usuario autenticado eludir controles de acceso adicionales con la configuración &amp;#39;Permitir después de la confirmación&amp;#39; en una sesión remota. Un exploit podría resultar en acceso no autorizado antes de la confirmación local. El usuario debe estar autenticado para la sesión remota a través de ID/contraseña, Enlace de Sesión o Acceso Fácil como requisito previo para explotar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en iomad (CVE-2026-1517)
Fecha de publicación:
05/02/2026
Idioma:
Español
Una vulnerabilidad fue identificada en iomad hasta 5.0. Afecta a una función desconocida del componente Company Admin Block. Dicha manipulación conduce a inyección SQL. El ataque puede ser ejecutado remotamente. Es una buena práctica aplicar un parche para resolver este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades