Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenLDAP de OpenLDAP Foundation (CVE-2026-22185)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de OpenLDAP Lightning Memory-Mapped Database (LMDB) hasta la 0.9.14 inclusive, anteriores al commit 8e1fda8, contienen un desbordamiento negativo de búfer de pila en la función readline() de mdb_load. Al procesar una entrada malformada que contiene un byte NUL incrustado, un cálculo de desplazamiento sin signo puede sufrir un desbordamiento negativo y causar una lectura fuera de límites de un byte antes del búfer de pila asignado. Esto puede causar que mdb_load falle, lo que lleva a una condición de denegación de servicio limitada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/01/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-21681)
Fecha de publicación:
07/01/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del International Color Consortium (ICC). Las versiones anteriores a la 2.3.1.2 tienen un error de tiempo de ejecución de Comportamiento Indefinido (Undefined Behavior). Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-21682)
Fecha de publicación:
07/01/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del Consorcio Internacional del Color (ICC). Las versiones anteriores a la 2.3.1.2 tienen un desbordamiento de búfer de montón (heap-buffer-overflow) en 'CIccXmlArrayType::ParseText()'. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2026

CVE-2025-69255
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** RustFS is a distributed object storage system built in Rust. In versions 1.0.0-alpha.13 to 1.0.0-alpha.77, a malformed gRPC GetMetrics request causes get_metrics to unwrap() failed deserialization of metric_type/opts, panicking the handler thread and enabling remote denial of service of the metrics endpoint. This issue has been patched in version 1.0.0-alpha.78.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/01/2026

CVE-2025-69220
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** LibreChat is a ChatGPT clone with additional features. Version 0.8.1-rc2 does not enforce proper access control for file uploads to an agents file context and file search. An authenticated attacker with access to the agent ID can change the behavior of arbitrary agents by uploading new files to the file context or file search, even if they have no permissions for this agent. This issue is fixed in version 0.8.2-rc2.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/01/2026

CVE-2025-69221
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** LibreChat is a ChatGPT clone with additional features. Version 0.8.1-rc2 does not enforce proper access control when<br /> querying agent permissions. An authenticated attacker can read the permissions of arbitrary agents, even if they have no permissions for this agent. LibreChat allows the configuration of agents that have a predefined set of instructions and context. Private agents are not visible to other users. However, if an attacker knows the agent ID, they can read the permissions of the agent including the permissions individually assigned to other users. This issue is fixed in version 0.8.2-rc2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2026

CVE-2025-68705
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** RustFS is a distributed object storage system built in Rust. In versions 1.0.0-alpha.13 to 1.0.0-alpha.78, RustFS contains a path traversal vulnerability in the /rustfs/rpc/read_file_stream endpoint. This issue has been patched in version 1.0.0-alpha.79.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/01/2026

CVE-2025-66620
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** An unused webshell in MicroServer allows unlimited login attempts, with sudo rights on certain files and directories. An attacker with admin access to MicroServer can gain limited shell access, enabling persistence through reverse shells, and the ability to modify or remove data stored in the file system.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/01/2026

CVE-2025-64305
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** MicroServer copies parts of the system firmware to an unencrypted external SD card on boot, which contains user and vendor secrets. An attacker can utilize these plaintext secrets to modify the vendor firmware, or gain admin access to the web portal.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/01/2026

CVE-2025-61939
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** An unused function in MicroServer can start a reverse SSH connection to a vendor registered domain, without mutual authentication. An attacker on the local network with admin access to the web server, and the ability to manipulate DNS responses, can redirect the SSH connection to an attacker controlled device.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/01/2026

Vulnerabilidad en tarkov-data-manager de the-hideout (CVE-2026-21856)
Fecha de publicación:
07/01/2026
Idioma:
Español
El Tarkov Data Manager es una herramienta para gestionar los datos de ítems de Tarkov. Antes del commit 9bdb3a75a98a7047b6d70144eb1da1655d6992a8, existía una vulnerabilidad de inyección SQL ciega basada en tiempo en los endpoints de la API de edición de webhook y escáner que permitía a un atacante autenticado ejecutar consultas SQL arbitrarias contra la base de datos MySQL. El commit 9bdb3a75a98a7047b6d70144eb1da1655d6992a8 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2026

Vulnerabilidad en tarkov-data-manager de the-hideout (CVE-2026-21854)
Fecha de publicación:
07/01/2026
Idioma:
Español
El Tarkov Data Manager es una herramienta para gestionar los datos de los ítems de Tarkov. Antes del 02 de enero de 2025, una vulnerabilidad de omisión de autenticación en el endpoint de inicio de sesión permite a cualquier usuario no autenticado obtener acceso de administrador completo al panel de administración del Tarkov Data Manager explotando una vulnerabilidad de acceso a propiedades de prototipo de JavaScript, combinada con la coerción de tipo de igualdad flexible. Una serie de commits de corrección el 02 de enero de 2025 solucionó esta y otras vulnerabilidades.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/02/2026
Suscribirse a Vulnerabilidades