Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70028)
Fecha de publicación:
09/03/2026
Idioma:
Español
Un problema relacionado con CWE-22: Limitación incorrecta de un nombre de ruta a un directorio restringido ('Salto de ruta') fue descubierto en Sunbird-Ed SunbirdEd-portal v1.13.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en open-webui (CVE-2025-15603)
Fecha de publicación:
09/03/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en open-webui hasta 0.6.16. Afectada es una función desconocida del archivo backend/start_windows.bat del componente Gestor de Claves JWT. Dicha manipulación del argumento WEBUI_SECRET_KEY conduce a valores insuficientemente aleatorios. Es posible lanzar el ataque remotamente. El ataque requiere un alto nivel de complejidad. La explotabilidad se dice que es difícil. El exploit ha sido divulgado públicamente y puede ser usado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Budibase (CVE-2026-25041)
Fecha de publicación:
09/03/2026
Idioma:
Español
Budibase es una plataforma de bajo código para crear herramientas internas, flujos de trabajo y paneles de administración. En 3.23.22 y anteriores, la integración de PostgreSQL construye comandos de shell utilizando valores de configuración controlados por el usuario (nombre de la base de datos, host, contraseña, etc.) sin una sanitización adecuada. La contraseña y otros parámetros de conexión se interpolan directamente en un comando de shell. Esto afecta a packages/server/src/integrations/postgres.ts.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en nltk (CVE-2026-0846)
Fecha de publicación:
09/03/2026
Idioma:
Español
Una vulnerabilidad en la función `filestring()` del módulo `nltk.util` en la versión 3.9.2 de nltk permite la lectura arbitraria de archivos debido a una validación inadecuada de las rutas de entrada. La función abre directamente archivos especificados por la entrada del usuario sin sanitización, lo que permite a los atacantes acceder a archivos sensibles del sistema al proporcionar rutas absolutas o rutas de recorrido. Esta vulnerabilidad puede ser explotada local o remotamente, particularmente en escenarios donde la función se utiliza en APIs web u otras interfaces que aceptan entrada proporcionada por el usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/04/2026

Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70031)
Fecha de publicación:
09/03/2026
Idioma:
Español
Un problema relacionado con CWE-352: Falsificación de petición en sitios cruzados fue descubierto en Sunbird-Ed SunbirdEd-portal v1.13.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70030)
Fecha de publicación:
09/03/2026
Idioma:
Español
Un problema relacionado con CWE-1333: Complejidad Ineficiente de Expresiones Regulares (4.19) fue descubierto en Sunbird-Ed SunbirdEd-portal v1.13.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en FreshRSS (CVE-2025-62166)
Fecha de publicación:
09/03/2026
Idioma:
Español
FreshRSS es un agregador RSS gratuito y autoalojable. Antes de la 1.28.0, un error en la lógica de autenticación relacionado con los tokens de autenticación maestros, esta restricción es eludida. Normalmente, solo la fuente del usuario predeterminado debería ser visible si la visualización anónima está habilitada, y las fuentes de otros usuarios deberían ser privadas. Esta vulnerabilidad está corregida en la 1.28.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en FreshRSS (CVE-2025-68402)
Fecha de publicación:
09/03/2026
Idioma:
Español
FreshRSS es un agregador RSS gratuito y autoalojable. Desde 57e1a37 - 00f2f04, la longitud del nonce se cambió de 40 caracteres a 64. password_verify() se está llamando actualmente con una cadena construida (nonce SHA-256 + parte de un hash bcrypt) en lugar de la contraseña de usuario sin procesar. Debido a la truncación de entrada de 72 bytes de bcrypt, esto provoca que la verificación de la contraseña tenga éxito incluso cuando el usuario introduce una contraseña incorrecta. Esta vulnerabilidad está corregida en 1.27.2-dev (476e57b). El problema solo estuvo presente en la rama 'edge' y nunca en una versión estable.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/04/2026

Vulnerabilidad en Devolutions Server (CVE-2026-3638)
Fecha de publicación:
09/03/2026
Idioma:
Español
Control de acceso inadecuado en los puntos finales de la API de restauración de usuarios y roles en Devolutions Server 2025.3.11.0 y versiones anteriores permite a un usuario autenticado con bajos privilegios restaurar usuarios y roles eliminados mediante solicitudes de API manipuladas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2026

Vulnerabilidad en Tenda (CVE-2026-30140)
Fecha de publicación:
09/03/2026
Idioma:
Español
Una vulnerabilidad de control de acceso incorrecto existe en Tenda W15E V02.03.01.26_cn. Un atacante no autenticado puede acceder al endpoint /cgi-bin/DownloadCfg/RouterCfm.jpg para descargar el archivo de configuración que contiene credenciales de administrador en texto plano, lo que lleva a la revelación de información sensible y a un posible acceso administrativo remoto.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70032)
Fecha de publicación:
09/03/2026
Idioma:
Español
Un problema relacionado con CWE-601: Redirección de URL a sitio no confiable fue descubierto en Sunbird-Ed SunbirdEd-portal v1.13.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en Keygraph Shannon (CVE-2026-29023)
Fecha de publicación:
09/03/2026
Idioma:
Español
Keygraph Shannon contiene una clave API codificada de forma rígida en su configuración de router que, cuando el componente del router está habilitado y expuesto, permite a los atacantes de red autenticarse utilizando la clave estática públicamente conocida. Un atacante capaz de alcanzar el puerto del router puede redirigir solicitudes a través de la instancia de Shannon utilizando las credenciales de API del proveedor ascendente configurado de la víctima, lo que resulta en un uso no autorizado de la API y la posible divulgación de datos de solicitudes y respuestas redirigidas. La explotabilidad general de esta vulnerabilidad ha sido mitigada con la introducción del commit 023cc95.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/05/2026
Suscribirse a Vulnerabilidades