Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en authentik de Goauthentik (CVE-2026-25922)
Fecha de publicación:
12/02/2026
Idioma:
Español
authentik es un proveedor de identidad de código abierto. Antes de 2025.8.6, 2025.10.4 y 2025.12.4, al usar una Fuente SAML que tiene la opción Verificar Firma de Aserción bajo Certificado de Verificación habilitada y no Verificar Firma de Respuesta, o no tiene la configuración de Certificado de Cifrado bajo la configuración de Protocolo Avanzado configurada, era posible para un atacante inyectar una aserción maliciosa antes de la aserción firmada que authentik usaría en su lugar. authentik 2025.8.6, 2025.10.4 y 2025.12.4 solucionan este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Element Server Suite Community Edition (CVE-2026-24044)
Fecha de publicación:
12/02/2026
Idioma:
Español
Element Server Suite Community Edition (ESS Community) despliega una pila de Matrix utilizando los gráficos Helm proporcionados y la distribución de Kubernetes. El hook de inicialización de secretos del gráfico Helm de ESS Community (utilizando el contenedor matrix-tools anterior a la versión 0.5.7) está utilizando un método inseguro de generación de claves de servidor de Matrix, permitiendo a los atacantes de red recrear potencialmente el mismo par de claves, lo que les permite suplantar al servidor víctima. El secreto es generado por el hook de inicialización de secretos, en los valores del gráfico Helm de ESS Community, si tanto initSecrets.enabled no está configurado como falso y synapse.signingKey no está definido. Dado que una clave de servidor en Matrix autentica tanto las solicitudes originadas desde como los eventos construidos en un servidor dado, esto impacta potencialmente la confidencialidad, integridad y disponibilidad de las salas que tienen un servidor vulnerable presente como miembro. La confidencialidad de las conversaciones pasadas en salas cifradas de extremo a extremo no se ve afectada. El problema de generación de claves fue solucionado en matrix-tools 0.5.7, lanzado como parte del gráfico Helm de ESS Community 25.12.1.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en webfsd (CVE-2025-70314)
Fecha de publicación:
12/02/2026
Idioma:
Español
webfsd 1.21 es vulnerable a un desbordamiento de búfer a través de una solicitud manipulada. Esto se debe a la variable de nombre de archivo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2026

Vulnerabilidad en ZBarcode_Encode de Monkeybread Software MBS DynaPDF Plugin (CVE-2025-67432)
Fecha de publicación:
12/02/2026
Idioma:
Español
Un desbordamiento de pila en la función ZBarcode_Encode de Monkeybread Software MBS DynaPDF Plugin v21.3.1.1 permite a los atacantes causar una Denegación de Servicio (DoS) mediante una entrada manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Open TFTP Server MultiThreaded (CVE-2025-67433)
Fecha de publicación:
12/02/2026
Idioma:
Español
Un desbordamiento de búfer en el heap en la función processRequest de Open TFTP Server MultiThreaded v1.7 permite a los atacantes causar una denegación de servicio (DoS) mediante un paquete DATA manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

CVE-2019-25348
Fecha de publicación:
12/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en MobileGo de Wondershare (CVE-2019-25344)
Fecha de publicación:
12/02/2026
Idioma:
Español
Wondershare MobileGo 8.5.0 contiene una vulnerabilidad de permisos de archivo inseguros que permite a usuarios locales modificar archivos ejecutables en el directorio de la aplicación. Los atacantes pueden reemplazar el MobileGo.exe original con un ejecutable malicioso para crear una nueva cuenta de usuario y añadirla al grupo de Administradores con acceso total al sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en TheSystem (CVE-2019-25346)
Fecha de publicación:
12/02/2026
Idioma:
Español
TheSystem 1.0 contiene una vulnerabilidad de inyección SQL que permite a los atacantes eludir la autenticación manipulando el parámetro 'server_name'. Los atacantes pueden inyectar código SQL malicioso como ' o '1=1 para recuperar registros de base de datos no autorizados y potencialmente acceder a información sensible del sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/03/2026

Vulnerabilidad en thesystem App (CVE-2019-25347)
Fecha de publicación:
12/02/2026
Idioma:
Español
thesystem App 1.0 contiene una vulnerabilidad de inyección SQL que permite a los atacantes eludir la autenticación manipulando el parámetro de nombre de usuario. Los atacantes pueden inyectar código SQL malicioso como ' o '1=1 en el campo de nombre de usuario para obtener acceso no autorizado a las cuentas de usuario.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/03/2026

Vulnerabilidad en RTK IIS Codec Service (CVE-2019-25345)
Fecha de publicación:
12/02/2026
Idioma:
Español
El Servicio de códec Realtek IIS 6.4.10041.133 contiene una vulnerabilidad de ruta de servicio sin comillas que permite a atacantes locales ejecutar potencialmente código arbitrario. Los atacantes pueden explotar la ruta sin comillas en la configuración del servicio para inyectar ejecutables maliciosos y escalar privilegios en el sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en NextVPN (CVE-2019-25343)
Fecha de publicación:
12/02/2026
Idioma:
Español
NextVPN 4.10 contiene una vulnerabilidad de permisos de archivo inseguros que permite a usuarios locales modificar archivos ejecutables con derechos de acceso completos. Los atacantes pueden reemplazar ejecutables del sistema con archivos maliciosos para obtener privilegios de SYSTEM o de Administrador mediante la modificación no autorizada de archivos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en newbee-mall (CVE-2026-26219)
Fecha de publicación:
12/02/2026
Idioma:
Español
newbee-mall almacena y verifica las contraseñas de usuario utilizando un algoritmo de hash MD5 sin sal. La implementación no incorpora sales por usuario ni controles de coste computacional, lo que permite a los atacantes que obtienen hashes de contraseñas a través de la exposición de la base de datos, la fuga de copias de seguridad u otros vectores de compromiso recuperar rápidamente credenciales en texto plano mediante ataques fuera de línea.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/02/2026
Suscribirse a Vulnerabilidades