Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en caddy de caddyserver (CVE-2026-27585)
Fecha de publicación:
24/02/2026
Idioma:
Español
Caddy es una plataforma de servidor extensible que usa TLS por defecto. Antes de la versión 2.11.1, la rutina de saneamiento de rutas en el file matcher no sanea las barras invertidas, lo que puede llevar a la elusión de protecciones de seguridad relacionadas con la ruta. Afecta a usuarios con configuraciones específicas de Caddy y del entorno. La versión 2.11.1 corrige el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en caddy de caddyserver (CVE-2026-27586)
Fecha de publicación:
24/02/2026
Idioma:
Español
Caddy es una plataforma de servidor extensible que usa TLS por defecto. Antes de la versión 2.11.1, dos errores silenciados en `ClientAuthentication.provision()` causan que la autenticación de certificados de cliente mTLS falle silenciosamente en modo abierto cuando un archivo de certificado de CA falta, es ilegible o está malformado. El servidor se inicia sin error pero acepta cualquier certificado de cliente firmado por cualquier CA de confianza del sistema, eludiendo completamente el límite de confianza de CA privada previsto. Cualquier despliegue que use `trusted_ca_cert_file` o `trusted_ca_certs_pem_files` para mTLS se degradará silenciosamente para aceptar cualquier certificado de cliente de confianza del sistema si el archivo de CA deja de estar disponible. Esto puede ocurrir debido a un error tipográfico en la ruta, rotación de archivos, corrupción o cambios de permisos. El servidor no da ninguna indicación de que mTLS está mal configurado. La versión 2.11.1 corrige la vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en caddy de caddyserver (CVE-2026-27587)
Fecha de publicación:
24/02/2026
Idioma:
Español
Caddy es una plataforma de servidor extensible que utiliza TLS por defecto. Antes de la versión 2.11.1, el comparador de solicitudes 'path' HTTP de Caddy está diseñado para ser insensible a mayúsculas y minúsculas, pero cuando el patrón de coincidencia contiene secuencias de escape de porcentaje ('%xx'), compara con la ruta escapada de la solicitud sin convertir a minúsculas. Un atacante puede eludir el enrutamiento basado en rutas y cualquier control de acceso asociado a esa ruta cambiando el uso de mayúsculas y minúsculas de la ruta de la solicitud. La versión 2.11.1 contiene una solución para el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en TIK-SOFT (CVE-2025-13776)
Fecha de publicación:
24/02/2026
Idioma:
Español
Múltiples programas Finka usan credenciales de la base de datos Firebird almacenadas en el código (compartidas entre todas las instancias de este software). Un atacante malicioso en la red local que conozca las credenciales predeterminadas es capaz de leer y editar el contenido de la base de datos.<br /> <br /> Esta vulnerabilidad ha sido corregida en la versión: Finka-FK 18.5, Finka-KPR 16.6, Finka-P?ace 13.4, Finka-Faktura 18.3, Finka-Magazyn 8.3, Finka-STW 12.3
Gravedad CVSS v4.0: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en Piwigo (CVE-2024-48928)
Fecha de publicación:
24/02/2026
Idioma:
Español
Piwigo es una aplicación de galería de fotos de código abierto para la web. En las versiones de la rama 14.x, al instalar, el parámetro de configuración secret_key se establece en MD5(RAND()) en MySQL. Sin embargo, RAND() solo tiene 30 bits de aleatoriedad, lo que hace factible forzar la clave secreta por fuerza bruta. El token CSRF se construye parcialmente a partir de la clave secreta, y esto se puede usar para verificar si el ataque de fuerza bruta tuvo éxito. Probar todos los valores posibles toma aproximadamente una hora. El impacto de esto es limitado. La clave de inicio de sesión automático utiliza la contraseña del usuario además de la clave secreta. El token pwg utiliza el identificador de sesión del usuario además de la clave secreta. Parece que los valores para get_ephemeral_key pueden generarse cuando se conoce la clave secreta. La versión 15.0.0 contiene una solución para el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
25/02/2026

Vulnerabilidad en 10G08-0800GSM Network Switch de Binardat Ltd. (CVE-2026-27521)
Fecha de publicación:
24/02/2026
Idioma:
Español
La versión de firmware V300SP10260209 y anteriores del switch de red Binardat 10G08-0800GSM no implementa limitación de tasa o bloqueo de cuenta en intentos de inicio de sesión fallidos, permitiendo ataques de fuerza bruta contra las credenciales de usuario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026

Vulnerabilidad en binardat 10g08-0800gsm network switch (CVE-2026-27516)
Fecha de publicación:
24/02/2026
Idioma:
Español
La versión de firmware V300SP10260209 y anteriores del switch de red Binardat 10G08-0800GSM exponen las contraseñas de usuario en texto plano dentro de la interfaz de admnistración y las respuestas HTTP, lo que permite recuperar credenciales válidas.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/03/2026

Vulnerabilidad en 10G08-0800GSM Network Switch de Binardat Ltd. (CVE-2026-27517)
Fecha de publicación:
24/02/2026
Idioma:
Español
Las versiones de firmware V300SP10260209 y anteriores del switch de red Binardat 10G08-0800GSM reflejan entrada de usuario no saneada en la interfaz web, permitiendo a un atacante inyectar y ejecutar JavaScript arbitrario en el contexto de un usuario autenticado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026

Vulnerabilidad en Binardat Ltd. (CVE-2026-27518)
Fecha de publicación:
24/02/2026
Idioma:
Español
La versión V300SP10260209 y anteriores del firmware del switch de red Binardat 10G08-0800GSM carecen de protecciones CSRF para acciones de cambio de estado en la interfaz de administración. Un atacante puede engañar a un administrador autenticado para que realice cambios de configuración no autorizados.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en 10G08-0800GSM Network Switch de Binardat Ltd. (CVE-2026-27519)
Fecha de publicación:
24/02/2026
Idioma:
Español
Las versiones V300SP10260209 y anteriores del firmware del switch de red Binardat 10G08-0800GSM utilizan RC4 con una clave fija incrustada en JavaScript del lado del cliente. Debido a que la clave es estática y está expuesta, un atacante puede descifrar valores protegidos y eludir las protecciones de confidencialidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en 10G08-0800GSM Network Switch de Binardat Ltd. (CVE-2026-27520)
Fecha de publicación:
24/02/2026
Idioma:
Español
Las versiones de firmware del switch de red Binardat 10G08-0800GSM anteriores a V300SP10260209 almacenan una contraseña de usuario en una cookie del lado del cliente como un valor codificado en Base64 accesible a través de la interfaz web. Debido a que Base64 es reversible y no proporciona confidencialidad, un atacante que puede acceder al valor de la cookie puede recuperar la contraseña en texto plano.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en 10G08-0800GSM Network Switch de Binardat Ltd. (CVE-2026-23678)
Fecha de publicación:
24/02/2026
Idioma:
Español
El firmware del switch de red Binardat 10G08-0800GSM versión V300SP10260209 y anteriores contiene una vulnerabilidad de inyección de comandos en la función de diagnóstico traceroute de la interfaz de gestión web del dispositivo afectado. Al inyectar el carácter %1a en el parámetro hostname, un atacante autenticado con acceso a la interfaz web puede ejecutar comandos CLI arbitrarios en el dispositivo.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026
Suscribirse a Vulnerabilidades