Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Device Management Agent (DDMA) de Dell (CVE-2026-22760)
Fecha de publicación:
04/03/2026
Idioma:
Español
Dell Device Management Agent (DDMA), versiones anteriores a la 26.02, contienen una vulnerabilidad de comprobación incorrecta de condiciones inusuales o excepcionales. Un atacante con pocos privilegios y acceso local podría potencialmente explotar esta vulnerabilidad, lo que llevaría a una denegación de servicio.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/03/2026

Vulnerabilidad en HPE Aruba Networking Wireless Operating System (AOS-10 & AOS-8) (CVE-2026-23601)
Fecha de publicación:
04/03/2026
Idioma:
Español
Una vulnerabilidad ha sido identificada en el manejo del cifrado inalámbrico de las transmisiones Wi-Fi. Un actor malicioso puede generar transmisiones autenticadas por clave compartida que contienen cargas útiles dirigidas mientras suplanta la identidad de un BSSID primario. La explotación exitosa permite la entrega de datos manipulados a puntos finales específicos, eludiendo la separación criptográfica estándar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en HPE Aruba Networking Wireless Operating System (AOS-10 & AOS-8) (CVE-2026-23808)
Fecha de publicación:
04/03/2026
Idioma:
Español
Se ha identificado una vulnerabilidad en un protocolo de itinerancia inalámbrica estandarizado que podría permitir a un actor malicioso instalar una Clave Temporal de Grupo (GTK) controlada por el atacante en un dispositivo cliente. La explotación exitosa de esta vulnerabilidad podría permitir a un actor malicioso remoto realizar inyección de tramas no autorizada, eludir el aislamiento del cliente, interferir con el tráfico entre clientes y comprometer la segmentación, integridad y confidencialidad de la red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en HPE Aruba Networking Wireless Operating System (AOS-10 & AOS-8) (CVE-2026-23809)
Fecha de publicación:
04/03/2026
Idioma:
Español
Se ha identificado una técnica que adapta un método conocido de robo de puertos a entornos Wi-Fi que utilizan múltiples BSSID. Al aprovechar la relación entre los BSSID y sus puertos virtuales asociados, un atacante podría potencialmente eludir los controles de aislamiento entre BSSID. La explotación exitosa podría permitir a un atacante redirigir e interceptar el tráfico de red de la víctima, lo que podría resultar en escucha no autorizada, secuestro de sesión o denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en Nil Hardware Editor Hardware Read & Write Utility (CVE-2025-66678)
Fecha de publicación:
04/03/2026
Idioma:
Español
Un problema en el componente HwRwDrv.sys de Nil Hardware Editor Hardware Read & Write Utility v1.25.11.26 y versiones anteriores permite a los atacantes ejecutar operaciones arbitrarias de lectura y escritura a través de una solicitud manipulada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en vran-dev databaseirv (CVE-2025-66944)
Fecha de publicación:
04/03/2026
Idioma:
Español
Vulnerabilidad de inyección SQL en vran-dev databaseir v.1.0.7 y anteriores permite a un atacante remoto ejecutar código arbitrario a través del parámetro query en el endpoint de la API de búsqueda.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en SRK Powertech Pvt Ltd Pebble Prism Ultra (CVE-2025-69969)
Fecha de publicación:
04/03/2026
Idioma:
Español
Una falta de mecanismos de autenticación y autorización en el protocolo de comunicación Bluetooth Low Energy (BLE) de SRK Powertech Pvt Ltd Pebble Prism Ultra v2.9.2 permite a los atacantes realizar ingeniería inversa del protocolo y ejecutar comandos arbitrarios en el dispositivo sin establecer una conexión. Esto es explotable a través de la proximidad Bluetooth Low Energy (BLE) (Adyacente), sin requerir contacto físico con el dispositivo. Además, la vulnerabilidad no se limita a comandos arbitrarios, sino que incluye la interceptación de datos en texto claro y el secuestro de firmware no autenticado a través de servicios OTA.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en Plugins Docker Desktop Docker (CVE-2025-15558)
Fecha de publicación:
04/03/2026
Idioma:
Español
Docker CLI para Windows busca binarios de plugin en C:\ProgramData\Docker\cli-plugins, un directorio que no existe por defecto. Un atacante de bajo privilegio puede crear este directorio y colocar binarios de plugin CLI maliciosos (docker-compose.exe, docker-buildx.exe, etc.) que se ejecutan cuando un usuario víctima abre Docker Desktop o invoca funciones de plugin de Docker CLI, y permiten la escalada de privilegios si el Docker CLI se ejecuta como un usuario privilegiado.<br /> <br /> Este problema afecta a Docker CLI: hasta la versión 29.1.5 y a los binarios de Windows que actúan como un gestor de plugin CLI utilizando el paquete github.com/docker/cli/cli-plugins/manager https://pkg.go.dev/github.com/docker/cli@v29.1.5+incompatible/cli-plugins/manager, como Docker Compose.<br /> <br /> Este problema no tiene impacto en los binarios que no son de Windows, ni en los proyectos que no utilizan el código del gestor de plugins.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en Device Management Agent (DDMA) de Dell (CVE-2026-22285)
Fecha de publicación:
04/03/2026
Idioma:
Español
Dell Device Management Agent (DDMA), versiones anteriores a la 26.02, contienen una vulnerabilidad de almacenamiento de contraseña en texto plano. Un atacante con altos privilegios y acceso local podría potencialmente explotar esta vulnerabilidad, lo que llevaría a un acceso no autorizado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en altavoz inteligente Mobvoi Tichome Mini (CVE-2026-26478)
Fecha de publicación:
04/03/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos de shell en el altavoz inteligente Mobvoi Tichome Mini 012-18853 y 027-58389 permite a atacantes remotos enviar un datagrama UDP especialmente diseñado y ejecutar código de shell arbitrario como la cuenta root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/03/2026

Vulnerabilidad en bird-lg-go (CVE-2026-26514)
Fecha de publicación:
04/03/2026
Idioma:
Español
Una vulnerabilidad de inyección de argumentos existe en bird-lg-go antes del commit 6187a4e. El módulo traceroute utiliza shlex.Split para analizar la entrada del usuario sin validación, permitiendo a atacantes remotos inyectar banderas arbitrarias (p. ej., -w, -q) a través del parámetro q. Esto puede ser explotado para causar una denegación de servicio (DoS) agotando los recursos del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2026

Vulnerabilidad en DJI Mavic Mini, Spark, Mavic Air, Mini, Mini SE (CVE-2026-26673)
Fecha de publicación:
04/03/2026
Idioma:
Español
Un problema en DJI Mavic Mini, Spark, Mavic Air, Mini, Mini SE 0.1.00.0500 y versiones anteriores permite a un atacante remoto causar una denegación de servicio a través del subsistema de transmisión DJI Enhanced-WiFi.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2026
Suscribirse a Vulnerabilidades