Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Aptsys gemscms POS (CVE-2025-52024)
Fecha de publicación:
23/01/2026
Idioma:
Español
Una vulnerabilidad existe en el módulo de servicios web de la plataforma Aptsys POS hasta el 28-05-2025, lo que expone herramientas internas de prueba de API a usuarios no autenticados. Al acceder a URL específicas, a un atacante se le presenta un índice estilo directorio que lista todos los servicios backend y servicios web POS disponibles, cada uno con un formulario HTML para enviar entradas de prueba. Estos paneles están destinados para uso de desarrolladores, pero son accesibles en entornos de producción sin autenticación ni validación de sesión. Esto otorga a cualquier actor externo la capacidad de descubrir, probar y ejecutar endpoints de API que realizan funciones críticas, incluyendo, entre otros, recuperación de transacciones de usuario, ajustes de crédito, acciones de POS y consultas de datos internas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2026

Vulnerabilidad en Aptsys gemscms POS (CVE-2025-52025)
Fecha de publicación:
23/01/2026
Idioma:
Español
Una vulnerabilidad de inyección SQL existe en el endpoint GetServiceByRestaurantID del backend de la plataforma POS Aptsys gemscms hasta el 28-05-2025. La vulnerabilidad surge porque la entrada del usuario se inserta directamente en una sintaxis de consulta SQL dinámica sin una sanitización o parametrización adecuadas. Esto permite a un atacante inyectar y ejecutar código SQL arbitrario al enviar una entrada manipulada en el parámetro id, lo que lleva a un acceso o modificación de datos no autorizados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2026

Vulnerabilidad en Aptsys gemscms (CVE-2025-52026)
Fecha de publicación:
23/01/2026
Idioma:
Español
Existe una vulnerabilidad de revelación de información en el endpoint /srvs/membersrv/getCashiers de la plataforma de backend Aptsys gemscms hasta el 28-05-2025. Este endpoint no autenticado devuelve una lista de cuentas de cajero, incluyendo nombres, direcciones de correo electrónico, nombres de usuario y contraseñas hasheadas usando MD5. Dado que MD5 es una función criptográfica rota, los hashes pueden ser fácilmente revertidos usando herramientas públicas, exponiendo las credenciales de usuario en texto plano. Esto permite a atacantes remotos realizar inicios de sesión no autorizados y potencialmente obtener acceso a operaciones POS sensibles o funciones de backend.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2026

Vulnerabilidad en PHP de gemscms.aptsys.com.sg thru (CVE-2025-52022)
Fecha de publicación:
23/01/2026
Idioma:
Español
Una vulnerabilidad en el backend PHP de gemsloyalty.aptsys.com.sg hasta el 28-05-2025 permite a atacantes remotos no autenticados activar mensajes de error detallados que revelan rutas de archivos internas, fragmentos de código y trazas de pila. Esto ocurre cuando solicitudes HTTP GET/POST especialmente diseñadas se envían a puntos finales de API públicos, exponiendo información potencialmente sensible útil para una explotación posterior. Este problema se clasifica bajo CWE-209: Exposición de Información a Través de un Mensaje de Error.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en com.sprd.engineermode (CVE-2025-67264)
Fecha de publicación:
23/01/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos del sistema operativo en el componente com.sprd.engineermode en Doogee Note59, Note59 Pro y Note59 Pro+ permite a un atacante local ejecutar código arbitrario y escalar privilegios a través de la shell ADB de EngineerMode, debido a un parcheo incompleto de CVE-2025-31710.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2026

CVE-2026-21867
Fecha de publicación:
23/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Reason: This candidate was issued in error.
Gravedad: Pendiente de análisis
Última modificación:
23/01/2026

Vulnerabilidad en RuoYi (CVE-2025-70986)
Fecha de publicación:
23/01/2026
Idioma:
Español
Control de acceso incorrecto en la función selectDept de RuoYi v4.8.2 permite a atacantes no autorizados acceder arbitrariamente a datos sensibles del departamento.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2026

Vulnerabilidad en SpringBlade (CVE-2025-70983)
Fecha de publicación:
23/01/2026
Idioma:
Español
Control de acceso incorrecto en la función authRoutes de SpringBlade v4.5.0 permite a atacantes con privilegios de bajo nivel escalar privilegios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2026

Vulnerabilidad en RuoYi (CVE-2025-70985)
Fecha de publicación:
23/01/2026
Idioma:
Español
Control de acceso incorrecto en la función de actualización de RuoYi v4.8.2 permite a atacantes no autorizados modificar datos arbitrariamente fuera de su alcance.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/01/2026

Vulnerabilidad en All-in-One Video Gallery (CVE-2025-14947)
Fecha de publicación:
23/01/2026
Idioma:
Español
El plugin All-in-One Video Gallery para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en las funciones 'ajax_callback_create_bunny_stream_video', 'ajax_callback_get_bunny_stream_video' y 'ajax_callback_delete_bunny_stream_video' en todas las versiones hasta la 4.6.4, inclusive. Esto hace posible que atacantes no autenticados creen y eliminen videos en la CDN de Bunny Stream asociada con la cuenta de la víctima, siempre que puedan obtener un nonce válido que se expone en las plantillas públicas del reproductor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en SmarterMail (CVE-2026-24423)
Fecha de publicación:
23/01/2026
Idioma:
Español
Las versiones de SmarterTools SmarterMail anteriores a la compilación 9511 contienen una vulnerabilidad de ejecución remota de código no autenticada en el método API ConnectToHub. El atacante podría dirigir SmarterMail al servidor HTTP malicioso, que sirve el comando malicioso del sistema operativo. Este comando será ejecutado por la aplicación vulnerable.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
06/02/2026

Vulnerabilidad en CPython (CVE-2026-1299)
Fecha de publicación:
23/01/2026
Idioma:
Español
El módulo de correo electrónico, específicamente la clase 'BytesGenerator', no escapaba correctamente los saltos de línea para los encabezados de correo electrónico al serializar un mensaje de correo electrónico, lo que permitía la inyección de encabezados cuando se serializa un correo electrónico. Esto solo es aplicable si se utiliza 'LiteralHeader' para escribir encabezados que no respetan las reglas de plegado de correo electrónico; el nuevo comportamiento rechazará los encabezados plegados incorrectamente en 'BytesGenerator'.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades