Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ServerView Agents for Windows de Fsas Technologies Inc. (CVE-2026-24016)
Fecha de publicación:
21/01/2026
Idioma:
Español
El instalador de ServerView Agents para Windows proporcionado por Fsas Technologies Inc. puede cargar de forma insegura librerías de Enlace Dinámico. Se puede ejecutar código arbitrario con privilegios de administrador cuando se ejecuta el instalador.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en Inetutils de GNU (CVE-2026-24061)
Fecha de publicación:
21/01/2026
Idioma:
Español
telnetd en GNU Inetutils a través de 2.7 permite la omisión de autenticación remota a través de un valor '-f root' para la variable de entorno USER.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2026

Vulnerabilidad en Linux (CVE-2026-22976)
Fecha de publicación:
21/01/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net/sched: sch_qfq: Corrección de desreferencia NULL al desactivar un agregado inactivo en qfq_reset<br /> <br /> &amp;#39;qfq_class-&amp;gt;leaf_qdisc-&amp;gt;q.qlen &amp;gt; 0&amp;#39; no implica que la propia clase esté activa.<br /> <br /> Dos objetos qfq_class pueden apuntar al mismo leaf_qdisc. Esto ocurre cuando:<br /> <br /> 1. un qdisc QFQ está adjunto al dev como el qdisc raíz, y<br /> <br /> 2. otro qdisc QFQ es referenciado temporalmente (p. ej., a través de qdisc_get() / qdisc_put()) y está pendiente de ser destruido, como en la función tc_new_tfilter.<br /> <br /> Cuando los paquetes son encolados a través del qdisc QFQ raíz, el leaf_qdisc-&amp;gt;q.qlen compartido aumenta. Al mismo tiempo, el segundo qdisc QFQ dispara qdisc_put y qdisc_destroy: el qdisc entra en qfq_reset() con su propio q-&amp;gt;q.qlen == 0, pero el leaf qdisc de su clase-&amp;gt;q.qlen &amp;gt; 0. Por lo tanto, el qfq_reset desactivaría erróneamente un agregado inactivo y dispararía una desreferencia nula en qfq_deactivate_agg:<br /> <br /> [ 0.903172] BUG: kernel NULL pointer dereference, address: 0000000000000000<br /> [ 0.903571] #PF: supervisor write access in kernel mode<br /> [ 0.903860] #PF: error_code(0x0002) - not-present page<br /> [ 0.904177] PGD 10299b067 P4D 10299b067 PUD 10299c067 PMD 0<br /> [ 0.904502] Oops: Oops: 0002 [#1] SMP NOPTI<br /> [ 0.904737] CPU: 0 UID: 0 PID: 135 Comm: exploit Not tainted 6.19.0-rc3+ #2 NONE<br /> [ 0.905157] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.17.0-0-gb52ca86e094d-prebuilt.qemu.org 04/01/2014<br /> [ 0.905754] RIP: 0010:qfq_deactivate_agg (include/linux/list.h:992 (discriminator 2) include/linux/list.h:1006 (discriminator 2) net/sched/sch_qfq.c:1367 (discriminator 2) net/sched/sch_qfq.c:1393 (discriminator 2))<br /> [ 0.906046] Code: 0f 84 4d 01 00 00 48 89 70 18 8b 4b 10 48 c7 c2 ff ff ff ff 48 8b 78 08 48 d3 e2 48 21 f2 48 2b 13 48 8b 30 48 d3 ea 8b 4b 18 0<br /> <br /> Código que comienza con la instrucción que causa el fallo<br /> ===========================================<br /> 0: 0f 84 4d 01 00 00 je 0x153<br /> 6: 48 89 70 18 mov %rsi,0x18(%rax)<br /> a: 8b 4b 10 mov 0x10(%rbx),%ecx<br /> d: 48 c7 c2 ff ff ff ff mov $0xffffffffffffffff,%rdx<br /> 14: 48 8b 78 08 mov 0x8(%rax),%rdi<br /> 18: 48 d3 e2 shl %cl,%rdx<br /> 1b: 48 21 f2 and %rsi,%rdx<br /> 1e: 48 2b 13 sub (%rbx),%rdx<br /> 21: 48 8b 30 mov (%rax),%rsi<br /> 24: 48 d3 ea shr %cl,%rdx<br /> 27: 8b 4b 18 mov 0x18(%rbx),%ecx<br /> ...<br /> [ 0.907095] RSP: 0018:ffffc900004a39a0 EFLAGS: 00010246<br /> [ 0.907368] RAX: ffff8881043a0880 RBX: ffff888102953340 RCX: 0000000000000000<br /> [ 0.907723] RDX: 0000000000000000 RSI: 0000000000000000 RDI: 0000000000000000<br /> [ 0.908100] RBP: ffff888102952180 R08: 0000000000000000 R09: 0000000000000000<br /> [ 0.908451] R10: ffff8881043a0000 R11: 0000000000000000 R12: ffff888102952000<br /> [ 0.908804] R13: ffff888102952180 R14: ffff8881043a0ad8 R15: ffff8881043a0880<br /> [ 0.909179] FS: 000000002a1a0380(0000) GS:ffff888196d8d000(0000) knlGS:0000000000000000<br /> [ 0.909572] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033<br /> [ 0.909857] CR2: 0000000000000000 CR3: 0000000102993002 CR4: 0000000000772ef0<br /> [ 0.910247] PKRU: 55555554<br /> [ 0.910391] Call Trace:<br /> [ 0.910527] <br /> [ 0.910638] qfq_reset_qdisc (net/sched/sch_qfq.c:357 net/sched/sch_qfq.c:1485)<br /> [ 0.910826] qdisc_reset (include/linux/skbuff.h:2195 include/linux/skbuff.h:2501 include/linux/skbuff.h:3424 include/linux/skbuff.h:3430 net/sched/sch_generic.c:1036)<br /> [ 0.911040] __qdisc_destroy (net/sched/sch_generic.c:1076)<br /> [ 0.911236] tc_new_tfilter (net/sched/cls_api.c:2447)<br /> [ 0.911447] rtnetlink_rcv_msg (net/core/rtnetlink.c:6958)<br /> [ 0.911663] ? __pfx_rtnetlink_rcv_msg (net/core/rtnetlink.c:6861)<br /> [ 0.911894] netlink_rcv_skb (net/netlink/af_netlink.c:2550)<br /> [ 0.912100] netlink_unicast (net/netlink/af_netlink.c:1319 net/netlink/af_netlink.c:1344)<br /> [ 0.912296] ? __alloc_skb (net/core/skbuff.c:706)<br /> [ 0.912484] netlink_sendmsg (net/netlink/af<br /> ---truncated---
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Red Hat (CVE-2025-14559)
Fecha de publicación:
21/01/2026
Idioma:
Español
Se encontró una falla en el componente keycloak-services de Keycloak. Esta vulnerabilidad permite la emisión de tokens de acceso y de actualización para usuarios deshabilitados, lo que lleva al uso no autorizado de privilegios previamente revocados, a través de una vulnerabilidad de lógica de negocio en la implementación de Token Exchange cuando un cliente privilegiado invoca el flujo de intercambio de tokens.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Red Hat (CVE-2026-1035)
Fecha de publicación:
21/01/2026
Idioma:
Español
Se encontró una falla en el servidor Keycloak durante el procesamiento de tokens de actualización, específicamente en la clase TokenManager responsable de aplicar las políticas de reutilización de tokens de actualización. Cuando la rotación estricta de tokens de actualización está habilitada, la validación y actualización del uso del token de actualización no se realizan de forma atómica. Esto permite que las solicitudes de actualización concurrentes eludan la aplicación del uso único y emitan múltiples tokens de acceso desde el mismo token de actualización. Como resultado, el endurecimiento de la rotación de tokens de actualización de Keycloak puede verse socavado.
Gravedad CVSS v3.1: BAJA
Última modificación:
02/04/2026

CVE-2026-24022
Fecha de publicación:
21/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/01/2026

CVE-2026-24023
Fecha de publicación:
21/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/01/2026

CVE-2026-24024
Fecha de publicación:
21/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/01/2026

CVE-2026-24025
Fecha de publicación:
21/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/01/2026

CVE-2026-24026
Fecha de publicación:
21/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/01/2026

CVE-2026-24020
Fecha de publicación:
21/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/01/2026

CVE-2026-24021
Fecha de publicación:
21/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
21/01/2026
Suscribirse a Vulnerabilidades