Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-3283
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en libvips 8.19.0. Este problema afecta la función vips_extract_band_build del archivo libvips/conversion/extract.c. La manipulación del argumento extract_band lleva a lectura fuera de límites. El ataque necesita ser realizado localmente. El exploit ha sido divulgado al público y puede ser usado. El identificador del parche es 24795bb3d19d84f7b6f5ed86451ad556c8f2fe70. Para solucionar este problema, se recomienda desplegar un parche.
Gravedad CVSS v4.0: BAJA
Última modificación:
27/02/2026

CVE-2026-3037
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos del sistema operativo (OS) existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema al modificar una entrada maliciosa inyectada en la URL del servicio SMS de MBird y/o en el código a través de la ruta de utilidad, que luego se procesa durante la configuración del sistema, lo que lleva a la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-25721
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema mediante la inyección de entrada maliciosa en los campos de nombre de usuario y/o contraseña del servidor de la acción de restauración en la ruta API V1.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-25196
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema al inyectar entrada maliciosa en los campos de SSID y/o contraseña de Wi-Fi, lo cual puede resultar en la ejecución remota de código cuando se procesa la configuración.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-3281
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad fue detectada en libvips 8.19.0. Esto afecta la función vips_bandrank_build del archivo libvips/conversion/bandrank.c. Realizar una manipulación del argumento index resulta en desbordamiento de búfer basado en montículo. El ataque debe ser iniciado desde una posición local. El exploit ahora es público y puede ser usado. El parche se llama fd28c5463697712cb0ab116a2c55e4f4d92c4088. Se sugiere instalar un parche para abordar este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

CVE-2026-3275
Fecha de publicación:
27/02/2026
Idioma:
Español
Se ha identificado una debilidad en Tenda F453 1.0.0.3. Esto afecta a la función fromAddressNat del archivo /goform/addressNat del componente httpd. La ejecución de una manipulación del argumento entrys puede conducir a un desbordamiento de búfer. El ataque puede realizarse de forma remota. El exploit se ha puesto a disposición del público y podría ser utilizado para ataques.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2026-3274
Fecha de publicación:
27/02/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en Tenda F453 1.0.0.3. Este problema afecta a la función frmL7ProtForm del archivo /goform/L7Prot del componente httpd. La manipulación del argumento page resulta en desbordamiento de búfer. El ataque puede llevarse a cabo de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2026-25105
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema mediante la inyección de entrada maliciosa en los parámetros de la herramienta de comandos Modbus en la ruta de depuración.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-25037
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos del sistema operativo (OS) existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema al configurar un estado LCD maliciosamente diseñado que es procesado posteriormente durante la configuración del sistema, lo que permite la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

CVE-2026-24497
Fecha de publicación:
27/02/2026
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer basado en pila en SimTech Systems, Inc. ThinkWise permite la inclusión remota de código. Este problema afecta a ThinkWise: de 7 a 23.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

CVE-2026-24498
Fecha de publicación:
27/02/2026
Idioma:
Español
Vulnerabilidad de exposición de información sensible a un actor no autorizado en EFM-Networks, Inc. IpTIME T5008, EFM-Networks, Inc. IpTIME AX2004M, EFM-Networks, Inc. IpTIME AX3000Q, EFM-Networks, Inc. IpTIME AX6000M permite la omisión de autenticación. Este problema afecta a ipTIME T5008: hasta 15.26.8; ipTIME AX2004M: hasta 15.26.8; ipTIME AX3000Q: hasta 15.26.8; ipTIME AX6000M: hasta 15.26.8.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

CVE-2026-24452
Fecha de publicación:
27/02/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema al suministrar un archivo de plantilla manipulado a la ruta devices.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades