Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en openemr (CVE-2026-25127)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, el servidor no valida correctamente el permiso del usuario. Usuarios no autorizados pueden ver la información de usuarios autorizados. La versión 8.0.0 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en OpenEMR (CVE-2026-25131)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de código abierto y gratuita para registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, existe una vulnerabilidad de control de acceso roto en el sistema de gestión de tipos de órdenes de OpenEMR, que permite a usuarios con pocos privilegios (como Recepcionista) añadir y modificar tipos de procedimiento sin la autorización adecuada. Esta vulnerabilidad está presente en el endpoint /openemr/interface/orders/types_edit.PHP. La versión 8.0.0 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2025-67752)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de prácticas médicas y registros de salud electrónicos de código abierto y gratuita. Antes de la versión 7.0.4, el wrapper del cliente HTTP de OpenEMR ('oeHttp'/'oeHttpRequest') deshabilita la verificación de certificados SSL/TLS por defecto ('verify: false'), haciendo que todas las conexiones HTTPS externas sean vulnerables a ataques man-in-the-middle (MitM). Esto afecta la comunicación con APIs gubernamentales de atención médica y servicios externos configurables por el usuario, exponiendo potencialmente Información de Salud Protegida (PHI). La versión 7.0.4 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2025-68277)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de práctica médica y registros de salud electrónicos gratuita y de código abierto. Antes de la versión 7.0.4, cuando se envía un enlace a través de Mensajería Segura, al hacer clic en el enlace se abre el sitio web dentro del sitio de OpenEMR/Portal. Este comportamiento podría ser explotado para phishing. La versión 7.0.4 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2025-69231)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de registros médicos electrónicos y práctica médica gratuita y de código abierto. Antes de la versión 8.0.0, una vulnerabilidad de cross-site scripting almacenado en el formulario de evaluación de ansiedad GAD-7 permite a usuarios autenticados con privilegios de clínico inyectar JavaScript malicioso que se ejecuta cuando otros usuarios ven el formulario. Esto permite el secuestro de sesión, la toma de control de cuenta y la escalada de privilegios de clínico a administrador. La versión 8.0.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2026-21443)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto de registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, la función de traducción 'xl()' devuelve cadenas sin escapar. Aunque existen funciones envoltorio para escapar en diferentes contextos ('xlt()' para HTML, 'xla()' para atributos, 'xlj()' para JavaScript), hay lugares en la base de código donde la salida de 'xl()' se usa directamente sin escapar. Si un atacante pudiera insertar contenido malicioso en la base de datos de traducción, estas salidas sin escapar podrían conducir a XSS. La versión 8.0.0 corrige el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
26/02/2026

Vulnerabilidad en dagu de dagu-org (CVE-2026-27598)
Fecha de publicación:
25/02/2026
Idioma:
Español
Dagu es un motor de flujo de trabajo con una interfaz de usuario web integrada. En versiones hasta la 1.16.7 inclusive, el endpoint de la API 'CreateNewDAG' ('POST /api/v1/dags') no valida el nombre del DAG antes de pasarlo al almacén de archivos. Un usuario autenticado con permisos de escritura de DAG puede escribir archivos YAML arbitrarios en cualquier lugar del sistema de archivos (limitado por los permisos del proceso). Dado que dagu ejecuta archivos DAG como comandos de shell, escribir un DAG malicioso en el directorio de DAGs de otra instancia o sobrescribir archivos de configuración puede conducir a ejecución remota de código. El commit e2ed589105d79273e4e6ac8eb31525f765bb3ce4 soluciona el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en itsourcecode (CVE-2026-3135)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se ha identificado una debilidad en itsourcecode News Portal Project 1.0. El elemento afectado es una función desconocida del archivo /admin/add-category.PHP. Al manipular el argumento 'Category' se causa una inyección SQL. Es posible iniciar el ataque en remoto. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en CodeAstro (CVE-2026-3137)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se ha descubierto una vulnerabilidad de seguridad en CodeAstro Food Ordering System 1.0 que afecta una función desconocida del archivo food_ordering.exe. Si se manipula se provoca un desbordamiento de búfer basado en pila. El ataque solo puede ser realizado desde un entorno local. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en OpenEMR (CVE-2025-67491)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para la gestión de historias clínicas electrónicas y consultas médicas. Las versiones 5.0.0.5 a 7.0.3.4 tienen una vulnerabilidad de secuencias de comandos entre sitios almacenadas en el ayudante ub04 de la interfaz de facturación. La variable `$data` se pasa en un controlador de eventos de clic entre comillas simples sin la debida desinfección. Por lo tanto, a pesar de «json_encode», un usuario malintencionado aún puede inyectar una carga útil como "ac' >" para activar el error. Esta vulnerabilidad permite a los usuarios con privilegios bajos incrustar cargas útiles JS maliciosas en el servidor y realizar ataques XSS almacenados. Esto, a su vez, hace posible que los usuarios malintencionados roben las cookies de sesión y realicen acciones no autorizadas suplantando a los administradores. La versión 7.0.4 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en itsourcecode Document Management System (CVE-2026-3133)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en itsourcecode Document Management System 1.0. Este problema afecta algún procesamiento desconocido del archivo /loging.php del componente Login. Si se manipula el argumento Username se puede provocar una inyección SQL. Es posible explotar el ataque en remoto. El exploit ha sido divulgado al público y puede ser usado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en itsourcecode news portal project (CVE-2026-3134)
Fecha de publicación:
25/02/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en itsourcecode News Portal Project 1.0. El elemento afectado es una función desconocida del archivo /newsportal/admin/edit-category.php. Manipular el argumento 'Category' provoca una inyección SQL. El ataque puede realizarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026
Suscribirse a Vulnerabilidades