Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Xmind (CVE-2026-0777)
Fecha de publicación:
20/02/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por advertencia de interfaz de usuario insuficiente en adjuntos de Xmind. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Xmind. Se requiere interacción del usuario para explotar esta vulnerabilidad en que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.<br /> <br /> La falla específica existe dentro del manejo de adjuntos. Al abrir un adjunto, la interfaz de usuario falla en advertir al usuario de acciones inseguras. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Fue ZDI-CAN-26034.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en D-Link DWR-M960 (CVE-2026-2856)
Fecha de publicación:
20/02/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en D-Link DWR-M960 1.01.07. Afectada por esta vulnerabilidad es la función sub_424AFC del archivo /boafrm/formFilter del componente Filter Configuration Endpoint. La manipulación del argumento submit-url resulta en desbordamiento de búfer basado en pila. El ataque puede ser lanzado remotamente. El exploit ha sido hecho público y podría ser usado.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en D-Link DWR-M960 (CVE-2026-2857)
Fecha de publicación:
20/02/2026
Idioma:
Español
Una vulnerabilidad fue determinada en D-Link DWR-M960 1.01.07. Afectada por este problema es la función sub_423E00 del archivo /boafrm/formPortFw del componente Port Forwarding Configuration Endpoint. Esta manipulación del argumento submit-url causa desbordamiento de búfer basado en pila. La explotación remota del ataque es posible. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en Deno (CVE-2026-27190)
Fecha de publicación:
20/02/2026
Idioma:
Español
Deno es un entorno de ejecución de JavaScript, TypeScript y WebAssembly. Antes de la versión 2.6.8, existe una vulnerabilidad de inyección de comandos en la implementación de node:child_process de Deno. Esta vulnerabilidad está corregida en la versión 2.6.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/03/2026

Vulnerabilidad en fast-xml-parser (CVE-2026-25896)
Fecha de publicación:
20/02/2026
Idioma:
Español
fast-xml-parser permite a los usuarios validar XML, analizar XML a objeto JS, o construir XML desde objeto JS sin librerías basadas en C/C++ y sin callback. Desde la versión 4.1.3 hasta antes de la 5.3.5, un punto (.) en un nombre de entidad DOCTYPE es tratado como un comodín de expresión regular durante el reemplazo de entidades, permitiendo a un atacante sombrear entidades XML incorporadas (&amp;lt;, &amp;gt;, &amp;amp;, ", &amp;#39;) con valores arbitrarios. Esto omite la codificación de entidades y conduce a XSS cuando la salida analizada es renderizada. Esta vulnerabilidad se corrige en la versión 5.3.5.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/03/2026

Vulnerabilidad en openITCOCKPIT (CVE-2026-24892)
Fecha de publicación:
20/02/2026
Idioma:
Español
openITCOCKPIT es una herramienta de monitoreo de código abierto construida para diferentes motores de monitoreo como Nagios, Naemon y Prometheus. openITCOCKPIT Community Edition 5.3.1 y anteriores contiene un patrón de deserialización PHP inseguro en el procesamiento de entradas de registro de cambios. Datos de registro de cambios serializados derivados del estado de la aplicación influenciado por el atacante se deserializan sin restringir las clases permitidas. Aunque no se encontró ningún punto final de aplicación actual que introdujera objetos PHP en esta ruta de datos, la presencia de una llamada unserialize() sin restricciones constituye una vulnerabilidad de inyección de objetos PHP latente. Si futuros cambios de código, complementos o refactorizaciones introducen valores de objeto en esta ruta, la vulnerabilidad podría volverse inmediatamente explotable con impacto severo, incluyendo potencial ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/03/2026

Vulnerabilidad en Photobooth (CVE-2026-27020)
Fecha de publicación:
20/02/2026
Idioma:
Español
Photobooth anterior a la versión 1.0.1 tiene una vulnerabilidad de cross-site scripting (XSS) en los campos de entrada de usuario. Usuarios malintencionados podrían inyectar scripts a través de entradas de formulario no validadas. Esta vulnerabilidad está corregida en la versión 1.0.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en D-Link DWR-M960 (CVE-2026-2853)
Fecha de publicación:
20/02/2026
Idioma:
Español
Una vulnerabilidad fue detectada en D-Link DWR-M960 1.01.07. Esto afecta la función sub_462E14 del archivo /boafrm/formSysLog del componente System Log Configuration Endpoint. Realizar una manipulación del argumento submit-url resulta en desbordamiento de búfer basado en pila. El ataque puede ser iniciado remotamente. El exploit ahora es público y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en D-Link DWR-M960 (CVE-2026-2854)
Fecha de publicación:
20/02/2026
Idioma:
Español
Se ha encontrado una falla en D-Link DWR-M960 1.01.07. Esto afecta a la función sub_4611CC del archivo /boafrm/formNtp del componente Punto final de configuración NTP. La ejecución de una manipulación del argumento submit-url puede llevar a un desbordamiento de búfer basado en pila. El ataque puede ser lanzado remotamente. El exploit ha sido publicado y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en D-Link DWR-M960 (CVE-2026-2855)
Fecha de publicación:
20/02/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en D-Link DWR-M960 1.01.07. Afectada es la función sub_4648F0 del archivo /boafrm/formDdns del componente Gestor de Configuración DDNS. La manipulación del argumento submit-url conduce a desbordamiento de búfer basado en pila. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado al público y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en Google Cloud Vertex AI SDK (CVE-2026-2472)
Fecha de publicación:
20/02/2026
Idioma:
Español
Cross-Site Scripting (XSS) Almacenado en el componente _genai/_evals_visualization de Google Cloud Vertex AI SDK (google-cloud-aiplatform) versiones desde la 1.98.0 hasta (pero sin incluir) la 1.131.0 permite a un atacante remoto no autenticado ejecutar JavaScript arbitrario en el entorno Jupyter o Colab de una víctima mediante la inyección de secuencias de escape de script en los resultados de evaluación del modelo o en los datos JSON del conjunto de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Vertex AI Experiments en Google Cloud Vertex AI (CVE-2026-2473)
Fecha de publicación:
20/02/2026
Idioma:
Español
Nombres de buckets predecibles en Vertex AI Experiments en Google Cloud Vertex AI desde la versión 1.21.0 hasta (pero sin incluir) la 1.133.0 en Google Cloud Platform permite a un atacante remoto no autenticado lograr ejecución remota de código entre inquilinos, robo de modelos y envenenamiento mediante la creación previa de buckets de Cloud Storage con nombres predecibles (Bucket Squatting).<br /> <br /> Esta vulnerabilidad fue parcheada y no se requiere ninguna acción por parte del cliente.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades