Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Inspektor Gadget (CVE-2026-25996)
Fecha de publicación:
12/02/2026
Idioma:
Español
Inspektor Gadget es un conjunto de herramientas y framework para la recopilación de datos y la inspección del sistema en clústeres de Kubernetes y hosts Linux utilizando eBPF. Los campos de cadena de los eventos eBPF en modo de salida de columnas se renderizan en la terminal sin ninguna sanitización de caracteres de control o secuencias de escape ANSI. Por lo tanto, una carga útil de evento forjada maliciosamente – parcial o completamente –, proveniente de un contenedor observado, podría inyectar las secuencias de escape en la terminal de los operadores de ig, con diversos efectos. El modo de salida de columnas es el predeterminado al ejecutar ig run de forma interactiva.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/02/2026

Vulnerabilidad en Arduino App Lab (CVE-2026-25933)
Fecha de publicación:
12/02/2026
Idioma:
Español
Arduino App Lab es un IDE multiplataforma para desarrollar aplicaciones de Arduino. Antes de la versión 0.4.0, se identificó una vulnerabilidad en el componente Terminal de la aplicación arduino-app-lab. El problema se origina por la sanitización y validación insuficientes de los datos de entrada recibidos de los dispositivos de hardware conectados, específicamente en los campos de metadatos _info.Serial y _info.Address. El problema ocurre durante el manejo de la información del dispositivo. Cuando se conecta una placa, la aplicación recopila atributos de identificación para establecer una sesión de terminal. Debido a que no se aplica una validación estricta para los parámetros Serial y Address, un atacante con control sobre el hardware conectado puede proporcionar cadenas especialmente diseñadas que contengan metacaracteres de shell. La explotación requiere acceso físico directo a una placa previamente manipulada. Cuando el sistema anfitrión procesa estos campos, cualquier carga útil inyectada se ejecuta con los privilegios del usuario que ejecuta arduino-app-lab. Esta vulnerabilidad se corrigió en la versión 0.4.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en Traefik (CVE-2026-25949)
Fecha de publicación:
12/02/2026
Idioma:
Español
Traefik es un proxy inverso HTTP y un balanceador de carga. Antes de la versión 3.6.8, existe una posible vulnerabilidad en Traefik al gestionar solicitudes STARTTLS. Un cliente no autenticado puede eludir el respondingTimeouts.readTimeout del punto de entrada de Traefik enviando el preámbulo de 8 bytes de Postgres SSLRequest (STARTTLS) y luego estancándose, lo que provoca que las conexiones permanezcan abiertas indefinidamente, lo que lleva a una denegación de servicio. Esta vulnerabilidad se corrige en la versión 3.6.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en authentik de Goauthentik (CVE-2026-25922)
Fecha de publicación:
12/02/2026
Idioma:
Español
authentik es un proveedor de identidad de código abierto. Antes de 2025.8.6, 2025.10.4 y 2025.12.4, al usar una Fuente SAML que tiene la opción Verificar Firma de Aserción bajo Certificado de Verificación habilitada y no Verificar Firma de Respuesta, o no tiene la configuración de Certificado de Cifrado bajo la configuración de Protocolo Avanzado configurada, era posible para un atacante inyectar una aserción maliciosa antes de la aserción firmada que authentik usaría en su lugar. authentik 2025.8.6, 2025.10.4 y 2025.12.4 solucionan este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en authentik de Goauthentik (CVE-2026-25748)
Fecha de publicación:
12/02/2026
Idioma:
Español
authentik es un proveedor de identidad de código abierto. Antes de las versiones 2025.10.4 y 2025.12.4, con una cookie malformada era posible eludir la autenticación al usar la autenticación de reenvío en el Proveedor de Proxy de authentik cuando se utilizaba junto con Traefik o Caddy como proxy inverso. Cuando se utilizaba una cookie maliciosa, ninguno de los encabezados X-Authentik-* específicos de authentik se establecía, lo que, dependiendo de la aplicación, podía conceder acceso a un atacante. authentik 2025.10.4 y 2025.12.4 solucionan este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en authentik de Goauthentik (CVE-2026-25227)
Fecha de publicación:
12/02/2026
Idioma:
Español
authentik es un proveedor de identidad de código abierto. Desde 2021.3.1 hasta antes de 2025.8.6, 2025.10.4 y 2025.12.4, al usar permisos delegados, un Usuario que tiene el permiso Can view * Property Mapping o Can view Expression Policy es capaz de ejecutar código arbitrario dentro del contenedor del servidor authentik a través del endpoint de prueba, el cual está destinado a previsualizar cómo funciona un mapeo de propiedades/política. authentik 2025.8.6, 2025.10.4 y 2025.12.4 solucionan este problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/02/2026

Vulnerabilidad en FrankenPHP de PHP (CVE-2026-24895)
Fecha de publicación:
12/02/2026
Idioma:
Español
FrankenPHP es un moderno servidor de aplicaciones para PHP. Antes de 1.11.2, la lógica de división de rutas CGI de FrankenPHP maneja incorrectamente los caracteres Unicode durante la conversión de mayúsculas y minúsculas. La lógica calcula el índice de división (para encontrar .php) en una copia en minúsculas de la ruta de la solicitud, pero aplica ese índice de bytes a la ruta original. Debido a que strings.ToLower() en Go puede aumentar la longitud en bytes de ciertos caracteres UTF-8 (por ejemplo, ? se expande al convertirse a minúsculas), el índice calculado puede no alinearse con la posición correcta en la cadena original. Esto resulta en un SCRIPT_NAME y SCRIPT_FILENAME incorrectos, potencialmente causando que FrankenPHP ejecute un archivo diferente al previsto por la URI. Esta vulnerabilidad está corregida en 1.11.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en FrankenPHP de PHP (CVE-2026-24894)
Fecha de publicación:
12/02/2026
Idioma:
Español
FrankenPHP es un moderno servidor de aplicaciones para PHP. Antes de la versión 1.11.2, al ejecutar FrankenPHP en modo worker, la superglobal $_SESSION no se restablece correctamente entre solicitudes. Esto permite que una solicitud subsiguiente procesada por el mismo worker acceda a los datos de $_SESSION de la solicitud anterior (potencialmente perteneciente a un usuario diferente) antes de que se llame a session_start(). Esta vulnerabilidad se corrige en la versión 1.11.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en LavinMQ de Cloudamqp (CVE-2026-25767)
Fecha de publicación:
12/02/2026
Idioma:
Español
LavinMQ es un servidor de cola de mensajes y streaming de alto rendimiento. Antes de la versión 2.6.8, un usuario autenticado, con la etiqueta 'Policymaker', podía crear 'shovels' eludiendo los controles de acceso. Un usuario autenticado con la etiqueta de gestión 'Policymaker' podría explotarlo para leer mensajes de 'vhosts' a los que no está autorizado a acceder o publicar mensajes en 'vhosts' a los que no está autorizado a acceder. Esta vulnerabilidad está corregida en la versión 2.6.8.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en LavinMQ de Cloudamqp (CVE-2026-25768)
Fecha de publicación:
12/02/2026
Idioma:
Español
LavinMQ es un servidor de cola de mensajes y streaming de alto rendimiento. Antes de la versión 2.6.6, un usuario autenticado podía acceder a metadatos en el broker a los que no debería tener acceso. Esta vulnerabilidad está corregida en la versión 2.6.6.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en Element Server Suite Community Edition (CVE-2026-24044)
Fecha de publicación:
12/02/2026
Idioma:
Español
Element Server Suite Community Edition (ESS Community) despliega una pila de Matrix utilizando los gráficos Helm proporcionados y la distribución de Kubernetes. El hook de inicialización de secretos del gráfico Helm de ESS Community (utilizando el contenedor matrix-tools anterior a la versión 0.5.7) está utilizando un método inseguro de generación de claves de servidor de Matrix, permitiendo a los atacantes de red recrear potencialmente el mismo par de claves, lo que les permite suplantar al servidor víctima. El secreto es generado por el hook de inicialización de secretos, en los valores del gráfico Helm de ESS Community, si tanto initSecrets.enabled no está configurado como falso y synapse.signingKey no está definido. Dado que una clave de servidor en Matrix autentica tanto las solicitudes originadas desde como los eventos construidos en un servidor dado, esto impacta potencialmente la confidencialidad, integridad y disponibilidad de las salas que tienen un servidor vulnerable presente como miembro. La confidencialidad de las conversaciones pasadas en salas cifradas de extremo a extremo no se ve afectada. El problema de generación de claves fue solucionado en matrix-tools 0.5.7, lanzado como parte del gráfico Helm de ESS Community 25.12.1.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/02/2026

Vulnerabilidad en webfsd (CVE-2025-70314)
Fecha de publicación:
12/02/2026
Idioma:
Español
webfsd 1.21 es vulnerable a un desbordamiento de búfer a través de una solicitud manipulada. Esto se debe a la variable de nombre de archivo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2026
Suscribirse a Vulnerabilidades