Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en JetBrains TeamCity (CVE-2026-28193)
Fecha de publicación:
25/02/2026
Idioma:
Español
En JetBrains YouTrack antes de 2025.3.121962, las aplicaciones podían enviar solicitudes al endpoint de permisos de la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en JetBrains TeamCity (CVE-2026-28194)
Fecha de publicación:
25/02/2026
Idioma:
Español
En JetBrains TeamCity antes de 2025.11.3, era posible una redirección abierta en el flujo de creación de proyectos de React.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en Grafana (CVE-2026-21725)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad de tipo "time-of-create-to-time-of-use" (TOCTOU) permite que las fuentes de datos recientemente eliminadas y luego recreadas sean re-eliminadas sin permiso para hacerlo.<br /> <br /> Esto requiere que se cumplan varias condiciones muy estrictas:<br /> <br /> - El atacante debe tener acceso de administrador a la fuente de datos específica antes de su primera eliminación.<br /> - Tras la eliminación, todos los pasos del ataque deben ocurrir dentro de los siguientes 30 segundos y en el mismo pod de Grafana.<br /> - El atacante debe eliminar la fuente de datos, luego alguien debe recrearla.<br /> - La nueva fuente de datos no debe tener al atacante como administrador.<br /> - La nueva fuente de datos debe tener el mismo UID que la fuente de datos anterior. Estos se aleatorizan por defecto.<br /> - La fuente de datos ahora puede ser re-eliminada por el atacante.<br /> - Una vez transcurridos 30 segundos, el ataque se agota y no puede repetirse.<br /> - Ninguna fuente de datos con cualquier otro UID puede ser atacada.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/02/2026

Vulnerabilidad en Antikor de ePati Cyber ??Security Technologies Inc (CVE-2026-2624)
Fecha de publicación:
25/02/2026
Idioma:
Español
Vulnerabilidad de autenticación faltante para función crítica en el Cortafuegos de Próxima Generación (NGFW) Antikor de ePati Cyber ??Security Technologies Inc. permite la omisión de autenticación. Este problema afecta al Cortafuegos de Próxima Generación (NGFW) Antikor: desde la v.2.0.1298 anterior a la v.2.0.1301.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/02/2026

Vulnerabilidad en Octopus Deploy (CVE-2026-0704)
Fecha de publicación:
25/02/2026
Idioma:
Español
En la versión afectada de Octopus Deploy era posible eliminar archivos y/o contenidos de archivos en el host utilizando un endpoint de la API. El campo carecía de validación, lo que podría resultar potencialmente en formas de eludir los flujos de trabajo esperados.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en openSUSE sdbootutil (CVE-2026-25701)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad de archivo temporal inseguro en openSUSE sdbootutil permite a los usuarios locales pre-crear un directorio para lograr varios efectos como:<br /> * obtener acceso a posible información privada encontrada en /var/lib/pcrlock.d<br /> * manipular los datos respaldados en /tmp/pcrlock.d.bak, violando así la integridad de los datos en caso de que se restauren.<br /> * sobrescribir archivos de sistema protegidos con datos de /var/lib/pcrlock.d colocando enlaces simbólicos a archivos existentes en el árbol de directorios en /tmp/pcrlock.d.bak.<br /> <br /> Este problema afecta a sdbootutil: desde ? antes de 5880246d3a02642dc68f5c8cb474bf63cdb56bca.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Plugin Orchestrator de Red Hat Developer Hub (Backstage) (CVE-2026-3118)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se identificó un fallo de seguridad en el Plugin Orchestrator de Red Hat Developer Hub (Backstage). El problema ocurre debido a una validación de entrada insuficiente en el manejo de consultas GraphQL. Un usuario autenticado puede inyectar una entrada especialmente diseñada en las solicitudes de la API, lo que interrumpe el procesamiento de consultas del backend. Esto resulta en que la aplicación Backstage completa colapse y se reinicie, lo que lleva a una Denegación de Servicio (DoS) en toda la plataforma. Como resultado, los usuarios legítimos pierden temporalmente el acceso a la plataforma.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2026

Vulnerabilidad en Red Hat (CVE-2026-26104)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se encontró una falla en el demonio de gestión de almacenamiento udisks que permite a usuarios sin privilegios hacer una copia de seguridad de los encabezados de cifrado LUKS sin autorización. El problema ocurre porque un método D-Bus privilegiado responsable de exportar metadatos de cifrado no realiza una verificación de política. Como resultado, los metadatos criptográficos sensibles pueden ser leídos y escritos en ubicaciones controladas por el atacante. Esto debilita las garantías de confidencialidad de los volúmenes de almacenamiento cifrados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en Rancher CLI (CVE-2025-67601)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad ha sido identificada dentro de Rancher Manager, donde el uso de certificados CA autofirmados y pasar la bandera -skip-verify al comando de inicio de sesión de Rancher CLI sin pasar también la bandera –cacert resulta en que la CLI intenta obtener certificados CA almacenados en la configuración &amp;#39;cacerts&amp;#39; de Rancher.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/03/2026

Vulnerabilidad en Red Hat (CVE-2026-26103)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se encontró una falla en el demonio de gestión de almacenamiento udisks que expone una API D-Bus privilegiada para restaurar los encabezados de cifrado LUKS sin las comprobaciones de autorización adecuadas. El problema permite a un usuario local sin privilegios instruir al demonio udisks, propiedad de root, para sobrescribir metadatos de cifrado en dispositivos de bloque. Esto puede invalidar permanentemente las claves de cifrado y dejar los volúmenes cifrados inaccesibles. La explotación exitosa resulta en una condición de denegación de servicio a través de una pérdida de datos irreversible.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2026

Vulnerabilidad en NeuVector (CVE-2025-67860)
Fecha de publicación:
25/02/2026
Idioma:
Español
Una vulnerabilidad ha sido identificada en el escáner NeuVector donde el proceso del escáner acepta credenciales de registro y de controlador como argumentos de línea de comandos, exponiendo potencialmente credenciales sensibles a usuarios locales.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en PersistentVolumes (CVE-2025-62878)
Fecha de publicación:
25/02/2026
Idioma:
Español
Un usuario malintencionado puede manipular el parámetro parameters.pathPattern para crear PersistentVolumes en ubicaciones arbitrarias en el nodo anfitrión, potencialmente sobrescribiendo archivos sensibles u obteniendo acceso a directorios no deseados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades