Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Red Hat (CVE-2026-0716)
Fecha de publicación:
13/01/2026
Idioma:
Español
Se encontró una vulnerabilidad en el procesamiento de tramas WebSocket de libsoup al manejar mensajes entrantes. Si se utiliza una configuración no predeterminada donde el tamaño máximo de la carga útil entrante no está establecido, la biblioteca puede leer memoria fuera de los límites previstos. Esto puede causar una exposición de memoria no intencionada o un bloqueo. Las aplicaciones que utilizan el soporte WebSocket de libsoup con esta configuración pueden verse afectadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Webgrind de jokkedk (CVE-2023-54341)
Fecha de publicación:
13/01/2026
Idioma:
Español
Webgrind 1.1 y anteriores contiene una vulnerabilidad de cross-site scripting reflejado que permite a atacantes no autenticados inyectar scripts maliciosos a través del parámetro file en index.php. La aplicación no codifica suficientemente las entradas controladas por el usuario, permitiendo a los atacantes ejecutar JavaScript arbitrario en los navegadores de las víctimas mediante la creación de URL maliciosas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/02/2026

Vulnerabilidad en eXtplorer de Extplorer (CVE-2023-54335)
Fecha de publicación:
13/01/2026
Idioma:
Español
eXtplorer 2.1.14 contiene una vulnerabilidad de omisión de autenticación que permite a los atacantes iniciar sesión sin una contraseña manipulando la solicitud de inicio de sesión. Los atacantes pueden explotar esta falla para cargar archivos PHP maliciosos y ejecutar comandos remotos en el sistema de gestión de archivos vulnerable.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/02/2026

Vulnerabilidad en Sysax Multi Server de Sysax (CVE-2023-54337)
Fecha de publicación:
13/01/2026
Idioma:
Español
Sysax Multi Server 6.95 contiene una vulnerabilidad de denegación de servicio en el campo de contraseña administrativa que permite a los atacantes colapsar la aplicación. Los atacantes pueden sobrescribir el campo de contraseña con 800 bytes de caracteres repetidos para provocar un colapso de la aplicación e interrumpir la funcionalidad del servidor.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/01/2026

Vulnerabilidad en Webgrind de jokkedk (CVE-2023-54339)
Fecha de publicación:
13/01/2026
Idioma:
Español
Webgrind 1.1 contiene una vulnerabilidad de ejecución remota de comandos que permite a atacantes no autenticados inyectar comandos del sistema operativo a través del parámetro dataFile en index.PHP. Los atacantes pueden ejecutar comandos de sistema arbitrarios manipulando el parámetro dataFile, como usar la carga útil '0%27%26calc.exe%26%27' para ejecutar comandos en el sistema objetivo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/02/2026

Vulnerabilidad en Mediconta de Infonetsoftware (CVE-2023-54336)
Fecha de publicación:
13/01/2026
Idioma:
Español
Mediconta 3.7.27 contiene una vulnerabilidad de ruta de servicio sin comillas en el servicio servermedicontservice que permite a usuarios locales ejecutar código potencialmente con privilegios elevados. Los atacantes pueden explotar la ruta sin comillas en C:\Program Files (x86)\medicont3\ para inyectar código malicioso que se ejecutaría con permisos de LocalSystem durante el inicio del servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Tftpd32_SE de Pjo2 (CVE-2023-54338)
Fecha de publicación:
13/01/2026
Idioma:
Español
Tftpd32 SE 4.60 contiene una vulnerabilidad de ruta de servicio sin comillas que permite a atacantes locales ejecutar potencialmente código arbitrario con privilegios elevados. Los atacantes pueden explotar la ruta sin comillas en la configuración del servicio para inyectar ejecutables maliciosos que se ejecutarán con permisos a nivel de sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en WorkOrder CMS de WorkOrder (CVE-2023-54340)
Fecha de publicación:
13/01/2026
Idioma:
Español
WorkOrder CMS 0.1.0 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados eludir el inicio de sesión manipulando los parámetros de nombre de usuario y contraseña. Los atacantes pueden inyectar consultas SQL maliciosas utilizando técnicas como OR '1'='1' y consultas apiladas para acceder a información de la base de datos o ejecutar comandos administrativos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Inbit Messenger de Inbit (CVE-2023-54330)
Fecha de publicación:
13/01/2026
Idioma:
Español
Las versiones 4.6.0 a 4.9.0 de Inbit Messenger contienen una vulnerabilidad remota de desbordamiento de búfer basado en pila que permite a atacantes no autenticados ejecutar código arbitrario enviando paquetes de red malformados. Los atacantes pueden crear una carga útil especialmente diseñada dirigida al controlador de red del mensajero para sobrescribir el Structured Exception Handler (SEH) y ejecutar shellcode en sistemas Windows vulnerables.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
30/01/2026

Vulnerabilidad en Outline de Getoutline (CVE-2023-54331)
Fecha de publicación:
13/01/2026
Idioma:
Español
Outline 1.6.0 contiene una vulnerabilidad de ruta de servicio sin comillas que permite a atacantes locales ejecutar potencialmente código arbitrario con privilegios de sistema elevados. Los atacantes pueden explotar la ruta de servicio sin comillas en el ejecutable OutlineService para inyectar código malicioso que se ejecutará con permisos de LocalSystem.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en Jetpack de Automattic (CVE-2023-54332)
Fecha de publicación:
13/01/2026
Idioma:
Español
Jetpack 11.4 contiene una cross-site scripting vulnerabilidad en el módulo de formulario de contacto que permite a los atacantes inyectar scripts maliciosos a través del parámetro post_id. Los atacantes pueden crear URLs maliciosas con cargas útiles de script para ejecutar JavaScript arbitrario en los navegadores de las víctimas cuando interactúan con la página del formulario de contacto.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Explorer32++ de Explorerplusplus (CVE-2023-54334)
Fecha de publicación:
13/01/2026
Idioma:
Español
Explorer32++ 1.3.5.531 contiene una vulnerabilidad de desbordamiento de búfer en los registros del controlador de excepciones estructuradas (SEH) que permite a los atacantes ejecutar código arbitrario. Los atacantes pueden explotar la vulnerabilidad proporcionando un argumento de nombre de archivo largo de más de 396 caracteres para corromper la cadena SEH y potencialmente ejecutar código malicioso.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/01/2026
Suscribirse a Vulnerabilidades