Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en emp3r0r (CVE-2026-26201)
Fecha de publicación:
19/02/2026
Idioma:
Español
emp3r0r es un C2 diseñado por usuarios de Linux para entornos Linux. Antes de la versión 3.21.2, se acceden a múltiples mapas compartidos sin sincronización consistente entre goroutines. Bajo actividad concurrente, el tiempo de ejecución de Go puede desencadenar 'fatal error: concurrent map read and map write', causando el fallo del proceso C2 (pérdida de disponibilidad). La versión 3.21.2 soluciona este problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en Penpot (CVE-2026-26202)
Fecha de publicación:
19/02/2026
Idioma:
Español
Penpot es una herramienta de diseño de código abierto para la colaboración en el diseño y la programación. Antes de la versión 2.13.2, un usuario autenticado podía leer archivos arbitrarios del servidor proporcionando una ruta de archivo local (por ejemplo, `/etc/ passwd`) como un fragmento de datos de fuente en el punto final RPC `create-font-variant`, lo que daba lugar a que el contenido del archivo se almacenara y pudiera recuperarse como un recurso de «fuente». Se trata de una vulnerabilidad de lectura de archivos arbitrarios. Cualquier usuario autenticado con permisos de edición de equipo puede leer archivos arbitrarios accesibles para el proceso backend de Penpot en el sistema de archivos del host. Esto puede dar lugar a la exposición de archivos sensibles del sistema, secretos de aplicaciones, credenciales de bases de datos y claves privadas, lo que podría comprometer aún más el servidor. En implementaciones en contenedores, el radio de impacto puede limitarse al sistema de archivos del contenedor, pero las variables de entorno, los secretos montados y la configuración de la aplicación siguen estando en riesgo. La versión 2.13.2 contiene un parche para el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en CediPay de xpertforextradeinc (CVE-2026-26063)
Fecha de publicación:
19/02/2026
Idioma:
Español
CediPay es una aplicación de cripto a fiat para el mercado ghanés. Una vulnerabilidad en CediPay anterior a la versión 1.2.3 permite a los atacantes eludir la validación de entrada en la API de transacciones. El problema ha sido solucionado en la versión 1.2.3. Si la actualización no es posible de inmediato, restrinja el acceso a la API a redes de confianza o rangos de IP; aplique una validación de entrada estricta en la capa de aplicación; y/o supervise los registros de transacciones en busca de anomalías o actividad sospechosa. Estas mitigaciones reducen la exposición, pero no eliminan por completo la vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Ruckus Network Director (RND) (CVE-2025-67304)
Fecha de publicación:
19/02/2026
Idioma:
Español
En Ruckus Network Director (RND) < 4.5.0.54, el dispositivo OVA contiene credenciales codificadas para el usuario de la base de datos PostgreSQL de ruckus. En la configuración predeterminada, el servicio PostgreSQL es accesible a través de la red en el puerto TCP 5432. Un atacante puede usar las credenciales codificadas para autenticarse remotamente, obteniendo acceso de superusuario a la base de datos. Esto permite la creación de usuarios administrativos para la interfaz web, la extracción de hashes de contraseñas y la ejecución de comandos arbitrarios del sistema operativo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/04/2026

Vulnerabilidad en SPIP (CVE-2026-27475)
Fecha de publicación:
19/02/2026
Idioma:
Español
SPIP anterior a 4.4.9 permite la deserialización insegura en el área pública a través del filtro table_valeur y el iterador DATA, que aceptan datos serializados. Un atacante que puede colocar contenido serializado malicioso (una precondición que requiere acceso previo u otra vulnerabilidad) puede desencadenar la instanciación arbitraria de objetos y potencialmente lograr la ejecución de código. El uso de datos serializados en estos componentes ha sido desaprobado y será eliminado en SPIP 5. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
24/02/2026

Vulnerabilidad en SPIP (CVE-2026-27473)
Fecha de publicación:
19/02/2026
Idioma:
Español
SPIP anterior a 4.4.9 permite Cross-Site Scripting Almacenado (XSS) a través de sitios sindicados en el área privada. La salida #URL_SYNDIC no se sanea correctamente en la página privada del sitio sindicado, permitiendo a un atacante que puede establecer una URL de sindicación maliciosa inyectar scripts persistentes que se ejecutan cuando otros administradores ven los detalles del sitio sindicado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en SPIP (CVE-2026-27472)
Fecha de publicación:
19/02/2026
Idioma:
Español
SPIP anterior a la versión 4.4.9 permite la Falsificación de Petición del Lado del Servidor Ciega (SSRF) a través de sitios sindicados en el área privada. Al editar un sitio sindicado, la aplicación no verifica que la URL de sindicación sea una URL remota válida, lo que permite a un atacante autenticado hacer que el servidor emita peticiones a destinos internos o externos arbitrarios. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en SPIP (CVE-2026-27474)
Fecha de publicación:
19/02/2026
Idioma:
Español
SPIP anterior a la versión 4.4.9 permite cross-site scripting (XSS) en el área privada, complementando una corrección incompleta de SPIP 4.4.8. La función echappe_anti_xss() no se aplicó sistemáticamente a las etiquetas HTML input, form, button y anchor (a), permitiendo a un atacante inyectar scripts maliciosos a través de estos elementos. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026

Vulnerabilidad en CRM de ChurchCRM (CVE-2026-26059)
Fecha de publicación:
19/02/2026
Idioma:
Español
ChurchCRM es un sistema de gestión de iglesias de código abierto. En versiones anteriores a la 6.8.2, era posible para un usuario autenticado con permiso para editar grupos almacenar una carga útil de JavaScript que se ejecutaría cuando el grupo era visualizado en la Vista de Grupo. La versión 6.8.2 corrige este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
20/02/2026

Vulnerabilidad en skill-scanner de cisco-ai-defense (CVE-2026-26057)
Fecha de publicación:
19/02/2026
Idioma:
Español
Skill Scanner es un escáner de seguridad para Habilidades de Agentes de IA que detecta inyección de prompts, exfiltración de datos y patrones de código malicioso. Una vulnerabilidad en el API Server de Skill Scanner podría permitir a un atacante remoto no autenticado interactuar con la API del servidor y o bien desencadenar una condición de denegación de servicio (DoS) o cargar archivos arbitrarios. Esta vulnerabilidad se debe a una vinculación errónea a múltiples interfaces. Un atacante podría explotar esta vulnerabilidad enviando solicitudes de API a un dispositivo que expone el API Server afectado. Un exploit exitoso podría permitir al atacante consumir una cantidad excesiva de recursos (agotamiento de memoria) o cargar archivos en carpetas arbitrarias en el dispositivo afectado. Esta vulnerabilidad afecta a Skill-scanner 1.0.1 y versiones anteriores cuando el API Server está habilitado. El API Server no está habilitado por defecto. Las versiones de software de Skill-scanner 1.0.2 y posteriores contienen la corrección para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en MailEssentials AI de GFI Software (CVE-2026-23621)
Fecha de publicación:
19/02/2026
Idioma:
Español
Las versiones de GFI MailEssentials AI anteriores a la 22.4 contienen una vulnerabilidad de enumeración de existencia de directorios arbitrarios en el método web ListServer.IsPathExist() expuesto en /MailEssentials/pages/MailSecurity/ListServer.aspx/IsPathExist. Un usuario autenticado puede proporcionar una ruta de sistema de archivos sin restricciones a través de la clave JSON 'path', que se decodifica por URL y se pasa a Directory.Exists(), permitiendo al atacante determinar si existen directorios arbitrarios en el servidor.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en Hyland Alfresco Transformation Service (CVE-2026-26339)
Fecha de publicación:
19/02/2026
Idioma:
Español
Hyland Alfresco Transformation Service permite a atacantes no autenticados lograr ejecución remota de código a través de la vulnerabilidad de inyección de argumentos, que existe en la funcionalidad de procesamiento de documentos.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/03/2026
Suscribirse a Vulnerabilidades