Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en aliasvault (CVE-2026-22694)
Fecha de publicación:
14/01/2026
Idioma:
Español
AliasVault es un gestor de contraseñas centrado en la privacidad con alias de correo electrónico integrado. Las versiones de AliasVault para Android de la 0.24.0 a la 0.25.2 contenían un problema en cómo se validaban las solicitudes de claves de acceso de las aplicaciones de Android. Bajo ciertas condiciones locales, una aplicación maliciosa podría intentar obtener una respuesta de clave de acceso para un sitio al que no estaba autorizada a acceder. El problema implicaba una validación incompleta de la identidad de la aplicación llamante, el origen y el ID de RP en el proveedor de credenciales de Android. Este problema se solucionó en AliasVault Android 0.25.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en cursor (CVE-2026-22708)
Fecha de publicación:
14/01/2026
Idioma:
Español
Cursor es un editor de código diseñado para programar con IA. Antes de la 2.3, cuando el Agente de Cursor se ejecuta en Modo de Ejecución Automática con el modo de lista de permitidos habilitado, ciertos comandos internos de shell aún pueden ejecutarse sin aparecer en la lista de permitidos y sin requerir la aprobación del usuario. Esto permite a un atacante, mediante inyección de prompt indirecta o directa, envenenar el entorno de shell estableciendo, modificando o eliminando variables de entorno que influyen en comandos de confianza. Esta vulnerabilidad se ha corregido en la versión 2.3.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

Vulnerabilidad en Paessler PRTG Network Monitor (CVE-2025-67833)
Fecha de publicación:
14/01/2026
Idioma:
Español
Paessler PRTG Network Monitor anterior a la versión 25.4.114 permite XSS por un atacante no autenticado a través del parámetro tag.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en Paessler PRTG Network Monitor (CVE-2025-67834)
Fecha de publicación:
14/01/2026
Idioma:
Español
Paessler PRTG Network Monitor antes de 25.4.114 permite XSS por un atacante no autenticado a través del parámetro filter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en Paessler PRTG Network Monitor (CVE-2025-67835)
Fecha de publicación:
14/01/2026
Idioma:
Español
Paessler PRTG Network Monitor anterior a 25.4.114 permite la Denegación de Servicio (DoS) por un atacante autenticado a través de la funcionalidad de Contactos de Notificación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en weblate de WeblateOrg (CVE-2026-21889)
Fecha de publicación:
14/01/2026
Idioma:
Español
Weblate es una herramienta de localización basada en web. Antes de la versión 5.15.2, las imágenes de las capturas de pantalla eran servidas directamente por el servidor HTTP sin un control de acceso adecuado. Esto podría permitir a un usuario no autenticado acceder a las capturas de pantalla después de adivinar su nombre de archivo. Esta vulnerabilidad está corregida en la versión 5.15.2.
Gravedad CVSS v4.0: BAJA
Última modificación:
23/01/2026

Vulnerabilidad en FreeImage (CVE-2025-70968)
Fecha de publicación:
14/01/2026
Idioma:
Español
FreeImage 3.18.0 contiene un Uso Después de Liberar en PluginTARGA.cpp;loadRLE().
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/01/2026

Vulnerabilidad en EdgeConnect SD-WAN Orchestrator de Hewlett Packard Enterprise (HPE) (CVE-2025-37182)
Fecha de publicación:
14/01/2026
Idioma:
Español
Vulnerabilidades en la interfaz de gestión basada en web de EdgeConnect SD-WAN Orchestrator podrían permitir a un atacante remoto autenticado realizar ataques de inyección SQL. La explotación exitosa podría permitir a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente, lo que podría llevar a acceso no autorizado a datos o manipulación de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2026

Vulnerabilidad en EdgeConnect SD-WAN Orchestrator de Hewlett Packard Enterprise (HPE) (CVE-2025-37183)
Fecha de publicación:
14/01/2026
Idioma:
Español
Vulnerabilidades en la interfaz de gestión basada en web de EdgeConnect SD-WAN Orchestrator podrían permitir a un atacante remoto autenticado realizar ataques de inyección SQL. La explotación exitosa podría permitir a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente, lo que podría llevar a un acceso no autorizado a datos o a la manipulación de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2026

Vulnerabilidad en EdgeConnect SD-WAN Orchestrator de Hewlett Packard Enterprise (HPE) (CVE-2025-37184)
Fecha de publicación:
14/01/2026
Idioma:
Español
Una vulnerabilidad existe en un servicio de Orchestrator que podría permitir a un atacante remoto no autenticado eludir los requisitos de autenticación multifactor. La explotación exitosa podría permitir a un atacante crear una cuenta de usuario administrador sin la autenticación multifactor necesaria, comprometiendo así la integridad del acceso seguro al sistema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2026

Vulnerabilidad en EdgeConnect SD-WAN Orchestrator de Hewlett Packard Enterprise (HPE) (CVE-2025-37185)
Fecha de publicación:
14/01/2026
Idioma:
Español
Vulnerabilidades en la interfaz de gestión basada en web de EdgeConnect SD-WAN Orchestrator podrían permitir a un atacante remoto autenticado realizar ataques de cross-site scripting (XSS) almacenados contra un usuario administrativo de la interfaz. Un exploit exitoso permite a un atacante ejecutar código de script arbitrario en el navegador de una víctima en el contexto de la interfaz afectada y, por lo tanto, realizar cambios de configuración arbitrarios no autorizados en el host.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en Blurams Flare Camera (CVE-2025-65396)
Fecha de publicación:
14/01/2026
Idioma:
Español
Una vulnerabilidad en el proceso de arranque de la cámara Blurams Flare versión 24.1114.151.929 y anteriores permite a un atacante con proximidad física secuestrar el mecanismo de arranque y obtener un shell del bootloader a través de la interfaz UART. Esto se logra al inducir un error de lectura de la memoria flash SPI durante el arranque, al cortocircuitar un pin de datos del CI a tierra. Un atacante puede entonces volcar el firmware completo, lo que lleva a la divulgación de información sensible, incluyendo claves criptográficas y configuraciones de usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026
Suscribirse a Vulnerabilidades