Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-52623
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL AION is affected by an Autocomplete HTML Attribute Not Disabled for Password Field vulnerability. This can allow autocomplete on password fields may lead to unintended storage or disclosure of sensitive credentials, potentially increasing the risk of unauthorized access. This issue affects AION: 2.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/02/2026

CVE-2025-52628
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL AION is affected by a Cookie with Insecure, Improper, or Missing SameSite vulnerability. This can allow cookies to be sent in cross-site requests, potentially increasing exposure to cross-site request forgery and related security risks. This issue affects AION: 2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026

CVE-2025-52631
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL AION is affected by a Missing or Insecure HTTP Strict-Transport-Security (HSTS) Header vulnerability. This can allow insecure connections, potentially exposing the application to man-in-the-middle and protocol downgrade attacks.. This issue affects AION: 2.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/02/2026

CVE-2025-52633
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** HCL AION is affected by a Permanent Cookie Containing Sensitive Session Information vulnerability. It is storing sensitive session data in persistent cookies may increase the risk of unauthorized access if the cookies are intercepted or compromised. This issue affects AION: 2.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/02/2026

CVE-2025-58077
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Heap-based Buffer Overflow vulnerability in TP-Link Archer AX53 v1.0 (tmpserver modules) allows authenticated adjacent attackers to cause a segmentation fault or potentially execute arbitrary code<br /> <br /> via a specially crafted set of network packets containing an excessive number of host entries<br /> <br /> This issue affects Archer AX53 v1.0: through 1.3.1 Build 20241120.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

CVE-2026-24673
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Open eClass platform (formerly known as GUnet eClass) is a complete course management system. Prior to version 4.2, a file upload validation bypass vulnerability allows attackers to upload files with prohibited extensions by embedding them inside ZIP archives and extracting them using the application’s built-in decompression functionality. This issue has been patched in version 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026

CVE-2026-24674
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Open eClass platform (formerly known as GUnet eClass) is a complete course management system. Prior to version 4.2, a Reflected Cross-Site Scripting (XSS) vulnerability allows remote attackers to execute arbitrary JavaScript in the context of authenticated users by crafting malicious URLs and tricking victims into visiting them. This issue has been patched in version 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026

CVE-2026-24773
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Open eClass platform (formerly known as GUnet eClass) is a complete course management system. Prior to version 4.2, an Insecure Direct Object Reference (IDOR) vulnerability allows unauthenticated remote attackers to access personal files of other users by directly requesting predictable user identifiers. This issue has been patched in version 4.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026

CVE-2026-24774
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Open eClass platform (formerly known as GUnet eClass) is a complete course management system. Prior to version 4.2, a business logic vulnerability allows authenticated students to improperly mark themselves as present in attendance activities, including activities that have already expired, by directly accessing a crafted URL. This issue has been patched in version 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026

CVE-2026-24671
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Open eClass platform (formerly known as GUnet eClass) is a complete course management system. Prior to version 4.2, a Stored Cross-Site Scripting (XSS) vulnerability allows authenticated high-privileged users (teachers or administrators) to inject malicious JavaScript into multiple user-controllable input fields across the application, which is executed when other users access affected pages. This issue has been patched in version 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026

CVE-2026-24672
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Open eClass platform (formerly known as GUnet eClass) is a complete course management system. Prior to version 4.2, a Stored Cross-Site Scripting (XSS) vulnerability allows authenticated students to inject malicious JavaScript into user profile fields, which is executed when users with viewing privileges access affected application pages. This issue has been patched in version 4.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026

CVE-2026-24670
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Open eClass platform (formerly known as GUnet eClass) is a complete course management system. Prior to version 4.2, a broken access control vulnerability allows authenticated students to create new course units, an action normally restricted to higher-privileged roles. This issue has been patched in version 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026
Suscribirse a Vulnerabilidades