Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WebConsole de Commvault (CVE-2025-12776)
Fecha de publicación:
07/01/2026
Idioma:
Español
El componente Report Builder de la aplicación almacena la entrada del usuario directamente en una página web y la muestra a otros usuarios, lo que generó preocupaciones sobre un posible ataque de cross-site scripting (XSS). La gestión adecuada de esta funcionalidad ayuda a garantizar una experiencia de usuario segura y sin interrupciones. Aunque la entrada del usuario no se valida en la creación del informe, estos scripts no se ejecutan cuando el informe es ejecutado por los usuarios finales. El script se ejecuta cuando el informe es modificado a través del report builder por un usuario con permisos de edición.<br /> <br /> El Report Builder es parte de la WebConsole. El paquete WebConsole se encuentra actualmente en fin de vida útil y ya no recibe mantenimiento. Desaconsejamos encarecidamente instalarlo o usarlo en cualquier entorno de producción. Sin embargo, si elige instalarlo, por ejemplo, para acceder a funcionalidades como el Report Builder, debe implementarse dentro de una red completamente aislada que no tenga acceso a datos sensibles ni a conectividad a internet. Esta es una precaución de seguridad crítica, ya que el paquete retirado puede contener vulnerabilidades sin parchear y ya no recibe soporte con actualizaciones o correcciones.
Gravedad CVSS v4.0: BAJA
Última modificación:
02/02/2026

Vulnerabilidad en libtasn1 de GnuTLS (CVE-2025-13151)
Fecha de publicación:
07/01/2026
Idioma:
Español
Desbordamiento de búfer basado en pila en libtasn1 versión: v4.20.0. La función no valida el tamaño de los datos de entrada, lo que resulta en un desbordamiento de búfer en asn1_expend_octet_string.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en Panda3D (CVE-2026-22189)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de Panda3D hasta la 1.10.16 inclusive, egg-mkfont contiene una vulnerabilidad de desbordamiento de búfer basado en pila debido al uso de una llamada sprintf() sin límites con entrada controlada por el atacante. Al construir nombres de archivo de glifos, egg-mkfont formatea un patrón de glifo proporcionado por el usuario (-gp) en un búfer de pila de tamaño fijo sin validación de longitud. Suministrar una cadena de patrón de glifo excesivamente larga puede desbordar el búfer de pila, lo que resulta en corrupción de memoria y un fallo determinista. Dependiendo de la configuración de compilación y el entorno de ejecución, el desbordamiento también puede ser explotable para ejecución de código arbitrario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en Panda3D (CVE-2026-22190)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de Panda3D hasta la 1.10.16 inclusive egg-mkfont contienen una vulnerabilidad de cadena de formato incontrolada. La opción de línea de comandos -gp (patrón de glifo) se utiliza directamente como la cadena de formato para sprintf() con un único argumento proporcionado. Si un atacante proporciona especificadores de formato adicionales, egg-mkfont puede leer valores de pila no intencionados y escribir la salida formateada en archivos .egg y .png generados, lo que resulta en la divulgación de memoria residente en la pila y valores de puntero.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en Bio-Formats de Open Microscopy Environment (CVE-2026-22186)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de Bio-Formats hasta la 8.3.0 inclusive contienen una vulnerabilidad de entidad externa XML (XXE) en el componente de análisis de metadatos de Leica Microsystems (p. ej., XLEF). El analizador utiliza una DocumentBuilderFactory configurada de forma insegura al procesar archivos de metadatos de Leica basados en XML, lo que permite la expansión de entidades externas y la carga de DTD externas. Un archivo de metadatos manipulado puede desencadenar solicitudes de red salientes (SSRF), acceder a recursos del sistema local donde sean legibles o causar una denegación de servicio durante el análisis XML.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en Bio-Formats de Open Microscopy Environment (CVE-2026-22187)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de Bio-Formats hasta la 8.3.0 inclusive realizan una deserialización Java insegura de archivos de caché de memorización (.bfmemo) controlados por el atacante durante el procesamiento de imágenes. La clase loci.formats.Memoizer carga y deserializa automáticamente archivos memo asociados con imágenes sin validación, comprobaciones de integridad o aplicación de confianza. Un atacante que pueda proporcionar un archivo .bfmemo manipulado junto con una imagen puede desencadenar la deserialización de datos no confiables, lo que puede resultar en denegación de servicio, manipulación lógica o, potencialmente, ejecución remota de código en entornos donde existan cadenas de gadgets adecuadas en el classpath.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Panda3D (CVE-2026-22188)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de Panda3D hasta la 1.10.16 inclusive deploy-stub contienen una vulnerabilidad de denegación de servicio debido a una asignación de pila ilimitada. El ejecutable deploy-stub asigna argv_copy y argv_copy2 utilizando alloca() basándose directamente en el valor argc controlado por el atacante sin validación. Suministrar un gran número de argumentos de línea de comandos puede agotar el espacio de la pila y propagar memoria de pila no inicializada a la inicialización del intérprete de Python, lo que resulta en un fallo fiable y comportamiento indefinido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en zlib de zlib software (CVE-2026-22184)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de zlib hasta la 1.3.1.2 inclusive incluyen un desbordamiento de búfer global en la utilidad untgz ubicada en contrib/untgz. La vulnerabilidad se limita a la utilidad de demostración independiente y no afecta a la biblioteca de compresión central de zlib. El fallo ocurre cuando un usuario ejecuta el comando untgz con un nombre de archivo excesivamente largo suministrado a través de la línea de comandos, lo que lleva a una escritura fuera de límites en un búfer global de tamaño fijo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-21681)
Fecha de publicación:
07/01/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del International Color Consortium (ICC). Las versiones anteriores a la 2.3.1.2 tienen un error de tiempo de ejecución de Comportamiento Indefinido (Undefined Behavior). Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2026

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-21682)
Fecha de publicación:
07/01/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del Consorcio Internacional del Color (ICC). Las versiones anteriores a la 2.3.1.2 tienen un desbordamiento de búfer de montón (heap-buffer-overflow) en &amp;#39;CIccXmlArrayType::ParseText()&amp;#39;. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2026

Vulnerabilidad en OpenLDAP de OpenLDAP Foundation (CVE-2026-22185)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de OpenLDAP Lightning Memory-Mapped Database (LMDB) hasta la 0.9.14 inclusive, anteriores al commit 8e1fda8, contienen un desbordamiento negativo de búfer de pila en la función readline() de mdb_load. Al procesar una entrada malformada que contiene un byte NUL incrustado, un cálculo de desplazamiento sin signo puede sufrir un desbordamiento negativo y causar una lectura fuera de límites de un byte antes del búfer de pila asignado. Esto puede causar que mdb_load falle, lo que lleva a una condición de denegación de servicio limitada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

CVE-2025-69255
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** RustFS is a distributed object storage system built in Rust. In versions 1.0.0-alpha.13 to 1.0.0-alpha.77, a malformed gRPC GetMetrics request causes get_metrics to unwrap() failed deserialization of metric_type/opts, panicking the handler thread and enabling remote denial of service of the metrics endpoint. This issue has been patched in version 1.0.0-alpha.78.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/01/2026
Suscribirse a Vulnerabilidades