Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en mailpit de axllent (CVE-2026-21859)
Fecha de publicación:
08/01/2026
Idioma:
Español
Mailpit es una herramienta de prueba de correo electrónico y una API para desarrolladores. Las versiones 1.28.0 e inferiores tienen una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en el endpoint /proxy, permitiendo a los atacantes realizar peticiones a recursos de la red interna. El endpoint /proxy valida los esquemas http:// y https://, pero no bloquea las direcciones IP internas, lo que permite a los atacantes acceder a servicios y API internas. Esta vulnerabilidad está limitada a peticiones HTTP GET con encabezados mínimos. El problema está solucionado en la versión 1.28.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/02/2026

Vulnerabilidad en llama.cpp de ggml-org (CVE-2026-21869)
Fecha de publicación:
08/01/2026
Idioma:
Español
llama.cpp es una inferencia de varios modelos LLM en C/C++. En los commits 55d4206c8 y anteriores, el parámetro n_discard se analiza directamente de la entrada JSON en los puntos finales de completado del servidor de llama.cpp sin validación para asegurar que no sea negativo. Cuando se suministra un valor negativo y el contexto se llena, llama_memory_seq_rm/add recibe un rango invertido y un desplazamiento negativo, causando escrituras de memoria fuera de límites en el bucle de evaluación de tokens. Esta corrupción de memoria determinista puede bloquear el proceso o permitir la ejecución remota de código (RCE). No hay una solución en el momento de la publicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en ClipBucket (CVE-2026-21875)
Fecha de publicación:
08/01/2026
Idioma:
Español
ClipBucket v5 es una plataforma de código abierto para compartir vídeos. Las versiones 5.5.2-#187 y anteriores permiten a un atacante realizar una inyección SQL ciega a través de la sección de comentarios de un canal. Al añadir un comentario en un canal, se envía una solicitud POST al punto final /actions/ajax.php. El parámetro obj_id de la solicitud POST a /actions/ajax.php se utiliza posteriormente en la función user_exists del archivo upload/includes/classes/user.class.php como parámetro $id. A continuación, se utiliza en la función count del archivo upload/includes/classes/db.class.php. El parámetro $id se concatena en la consulta sin validación ni sanitización, y una entrada proporcionada por el usuario como 1' o 1=1-- puede utilizarse para desencadenar la inyección. Esta vulnerabilidad no tiene solución en el momento de la publicación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/01/2026

Vulnerabilidad en titra de kromitgmbh (CVE-2026-21694)
Fecha de publicación:
08/01/2026
Idioma:
Español
Titra es un software de seguimiento de tiempo de proyectos de código abierto. Las versiones 0.99.49 e inferiores tienen un Control de Acceso Inadecuado, permitiendo a los usuarios ver y editar las entradas de tiempo de otros usuarios en proyectos privados a los que no se les ha concedido acceso. Este problema se ha solucionado en la versión 0.99.50.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en titra de kromitgmbh (CVE-2026-21695)
Fecha de publicación:
08/01/2026
Idioma:
Español
Titra es un software de seguimiento de tiempo de proyectos de código abierto. En las versiones 0.99.49 e inferiores, una API tiene una vulnerabilidad de Asignación Masiva que permite a los usuarios autenticados inyectar campos arbitrarios en las entradas de tiempo, eludiendo los controles de lógica de negocio a través del parámetro customfields. El endpoint afectado utiliza el operador de propagación de JavaScript (...customfields) para fusionar la entrada controlada por el usuario directamente en el documento de la base de datos. Aunque customfields se valida como un tipo de Objeto, no hay validación de qué claves están permitidas dentro de ese objeto. Esto permite a los atacantes sobrescribir campos protegidos como userId, hours y state. El problema está solucionado en la versión 0.99.50.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en n8n de n8n-io (CVE-2026-21858)
Fecha de publicación:
08/01/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Las versiones a partir de la 1.65.0 y anteriores a la 1.121.0 permiten a un atacante acceder a archivos en el servidor subyacente mediante la ejecución de ciertos flujos de trabajo basados en formularios. Un flujo de trabajo vulnerable podría conceder acceso a un atacante remoto no autenticado, lo que resultaría en la exposición de información sensible almacenada en el sistema y podría permitir un mayor compromiso dependiendo de la configuración de despliegue y el uso del flujo de trabajo. Este problema está solucionado en la versión 1.121.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/01/2026

Vulnerabilidad en Smartliving SmartLAN/G/SI de INIM Electronics s.r.l. (CVE-2019-25291)
Fecha de publicación:
08/01/2026
Idioma:
Español
INIM Electronics Smartliving SmartLAN/G/SI <=6.x contiene credenciales codificadas de forma rígida en su imagen de distribución de Linux que no pueden cambiarse mediante las operaciones normales del dispositivo. Los atacantes pueden exploit estas credenciales persistentes para iniciar sesión y obtener acceso no autorizado al sistema en múltiples modelos de dispositivos SmartLiving.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

CVE-2025-15346
Fecha de publicación:
08/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability in the handling of verify_mode = CERT_REQUIRED in the wolfssl Python package (wolfssl-py) causes client certificate requirements to not be fully enforced. <br /> <br /> Because the WOLFSSL_VERIFY_FAIL_IF_NO_PEER_CERT flag was not included, the behavior effectively matched CERT_OPTIONAL: a peer certificate was verified if presented, but connections were incorrectly authenticated when no client certificate was provided. <br /> <br /> This results in improper authentication, allowing attackers to bypass mutual TLS (mTLS) client authentication by omitting a client certificate during the TLS handshake. <br /> <br /> The issue affects versions up to and including 5.8.2.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en FaceSentry Access Control System de iWT Ltd. (CVE-2019-25279)
Fecha de publicación:
08/01/2026
Idioma:
Español
El Sistema de Control de Acceso FaceSentry 6.4.8 contiene una vulnerabilidad de almacenamiento de contraseñas en texto claro que permite a los atacantes acceder a credenciales no cifradas en la base de datos SQLite del dispositivo. Los atacantes pueden leer directamente información de inicio de sesión sensible almacenada en /faceGuard/database/FaceSentryWeb.sqlite sin autenticación adicional.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/01/2026

Vulnerabilidad en Yahei-PHP Prober (CVE-2019-25280)
Fecha de publicación:
08/01/2026
Idioma:
Español
Yahei-PHP Prober 0.4.7 contiene una vulnerabilidad de inyección HTML remota que permite a los atacantes ejecutar código HTML arbitrario a través del parámetro GET &amp;#39;speed&amp;#39;. Los atacantes pueden inyectar código HTML malicioso en el parámetro &amp;#39;speed&amp;#39; de prober.php para desencadenar cross-site scripting en las sesiones del navegador del usuario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Guangzhou V (CVE-2019-25282)
Fecha de publicación:
08/01/2026
Idioma:
Español
La Plataforma V-SOL GPON/EPON OLT v2.03 contiene una vulnerabilidad de redirección abierta en el script que permite a los atacantes manipular el parámetro GET &amp;#39;parent&amp;#39;. Los atacantes pueden crear enlaces maliciosos que redirigen a los usuarios autenticados a sitios web arbitrarios explotando una validación de entrada incorrecta en el mecanismo de redirección.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Guangzhou V (CVE-2019-25284)
Fecha de publicación:
08/01/2026
Idioma:
Español
V-SOL GPON/EPON OLT Platform v2.03 contiene múltiples vulnerabilidades de cross-site scripting reflejadas debido a una sanitización de entrada inadecuada en varios parámetros de script. Los atacantes pueden explotar estas vulnerabilidades inyectando código HTML y de script malicioso para ejecutar scripts arbitrarios en la sesión del navegador de una víctima.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades