Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Red Hat (CVE-2025-14525)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una vulnerabilidad en kubevirt. Un usuario dentro de una máquina virtual (VM), si el agente invitado está activo, puede explotar esto al hacer que el agente informe un número excesivo de interfaces de red. Esta acción puede sobrecargar la capacidad del sistema para almacenar actualizaciones de configuración de la VM, bloqueando eficazmente los cambios en la Instancia de Máquina Virtual (VMI). Esto permite al usuario de la VM restringir la capacidad del administrador de la VM para gestionar la VM, lo que lleva a una denegación de servicio para las operaciones administrativas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Red Hat (CVE-2025-14969)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una vulnerabilidad en Hibernate Reactive. Cuando un endpoint HTTP está expuesto para realizar operaciones de base de datos, un cliente remoto puede cerrar prematuramente la conexión HTTP. Esta acción puede provocar la fuga de conexiones del pool de conexiones de la base de datos, lo que podría causar una denegación de servicio (DoS) al agotar las conexiones de base de datos disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Gi-docgen (CVE-2025-11687)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró un defecto en gi-docgen. Esta vulnerabilidad permite la ejecución arbitraria de JavaScript en el contexto de la página — permitiendo el acceso al DOM, el robo de cookies de sesión y otros ataques del lado del cliente — a través de una URL manipulada que suministra un valor malicioso al parámetro GET q (XSS DOM reflejado).
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Red Hat (CVE-2025-14459)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una falla en KubeVirt Containerized Data Importer (CDI). Esta vulnerabilidad permite a un usuario clonar PersistentVolumeClaims (PVCs) desde espacios de nombres no autorizados, lo que resulta en acceso no autorizado a datos a través del mecanismo de origen de PVC DataImportCron.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Red Hat (CVE-2025-11065)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una falla en github.com/go-viper/mapstructure/v2, en el componente de procesamiento de campos que utiliza mapstructure.WeakDecode. Esta vulnerabilidad permite la revelación de información a través de mensajes de error detallados que pueden filtrar valores de entrada sensibles a través de datos malformados proporcionados por el usuario procesados en contextos críticos para la seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Worklenz (CVE-2025-70368)
Fecha de publicación:
26/01/2026
Idioma:
Español
La versión 2.1.5 de Worklenz contiene una vulnerabilidad de cross-site scripting (XSS) almacenado en la función de Actualizaciones de Proyecto. Un atacante puede enviar una carga útil maliciosa en el campo de texto de Actualizaciones que luego se renderiza en la vista de informes sin la sanitización adecuada. JavaScript malicioso puede ejecutarse en el navegador de una víctima cuando navegan a la página que contiene el campo vulnerable.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2026

Vulnerabilidad en Archer MR600 v5.0 (CVE-2025-14756)
Fecha de publicación:
26/01/2026
Idioma:
Español
Vulnerabilidad de inyección de comandos fue encontrada en el componente de la interfaz de administración del firmware TP-Link Archer MR600 v5, permitiendo a atacantes autenticados ejecutar comandos del sistema con una longitud de caracteres limitada mediante entrada manipulada en la consola de desarrollador del navegador, posiblemente llevando a la interrupción del servicio o a un compromiso total.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en W30E V2 (CVE-2026-24435)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo V16.01.0.19(5037) implementan una política insegura de Intercambio de Recursos de Origen Cruzado (CORS) en puntos finales administrativos autenticados. El dispositivo establece Access-Control-Allow-Origin: * en combinación con Access-Control-Allow-Credentials: true, permitiendo que orígenes controlados por el atacante emitan solicitudes de origen cruzado con credenciales.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en Shenzhen Tenda W30E (CVE-2026-24436)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo V16.01.0.19(5037) no imponen mecanismos de limitación de tasa o de bloqueo de cuenta en los puntos finales de autenticación. Esto permite a los atacantes realizar intentos de fuerza bruta sin restricciones contra las credenciales administrativas.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
28/01/2026

Vulnerabilidad en W30E V2 (CVE-2026-24437)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo la V16.01.0.19(5037) sirven contenido administrativo sensible sin directivas de control de caché apropiadas. Como resultado, los navegadores pueden almacenar localmente respuestas que contienen credenciales, exponiéndolas a un acceso no autorizado posterior.
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/01/2026

Vulnerabilidad en W30E V2 (CVE-2026-24439)
Fecha de publicación:
26/01/2026
Idioma:
Español
El firmware de Shenzhen Tenda W30E V2, versiones hasta la V16.01.0.19(5037) inclusive, no incluye el encabezado de respuesta X-Content-Type-Options: nosniff en las interfaces de gestión web. Como resultado, los navegadores que realizan MIME sniffing pueden interpretar incorrectamente las respuestas influenciadas por el atacante como script ejecutable.
Gravedad CVSS v4.0: BAJA
Última modificación:
28/01/2026

Vulnerabilidad en W30E V2 (CVE-2026-24440)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo V16.01.0.19(5037) permiten cambiar las contraseñas de cuenta a través de la interfaz de mantenimiento sin requerir verificación de la contraseña existente. Esto posibilita cambios de contraseña no autorizados cuando se obtiene acceso al endpoint afectado.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/01/2026
Suscribirse a Vulnerabilidades