Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en mk_server/mk_http.c (CVE-2025-63652)
Fecha de publicación:
29/01/2026
Idioma:
Español
Un uso después de liberación en la función mk_http_request_end (mk_server/mk_http.c) del commit f37e984 de monkey permite a los atacantes causar una Denegación de Servicio (DoS) mediante el envío de una solicitud HTTP manipulada al servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en mk_server/mk_vhost.c (CVE-2025-63653)
Fecha de publicación:
29/01/2026
Idioma:
Español
Una lectura fuera de límites en la función mk_vhost_fdt_close (mk_server/mk_vhost.c) del commit f37e984 de monkey permite a los atacantes causar una Denegación de Servicio (DoS) mediante el envío de una solicitud HTTP manipulada al servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en mk_server/mk_http_parser.c (CVE-2025-63649)
Fecha de publicación:
29/01/2026
Idioma:
Español
Una lectura fuera de límites en la función http_parser_transfer_encoding_chunked (mk_server/mk_http_parser.c) del commit f37e984 de monkey permite a los atacantes causar una Denegación de Servicio (DoS) mediante el envío de una solicitud POST manipulada al servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en mk_core/mk_string.c (CVE-2025-63651)
Fecha de publicación:
29/01/2026
Idioma:
Español
Un uso después de liberación en la función mk_string_char_search (mk_core/mk_string.c) del commit f37e984 de monkey permite a los atacantes causar una Denegación de Servicio (DoS) mediante el envío de una solicitud HTTP manipulada al servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en mk_memory.c (CVE-2025-63650)
Fecha de publicación:
29/01/2026
Idioma:
Español
Una lectura fuera de límites en la función mk_ptr_to_buf en mk_core (mk_memory.c) del commit f37e984 de monkey permite a los atacantes causar una Denegación de Servicio (DoS) mediante el envío de una solicitud HTTP manipulada al servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en FluentCMS (CVE-2025-15549)
Fecha de publicación:
29/01/2026
Idioma:
Español
FluentCMS 2026 contiene una vulnerabilidad de cross-site scripting almacenado que permite a los administradores autenticados subir archivos SVG con JavaScript incrustado a través del módulo de Gestión de Archivos. Los atacantes pueden subir archivos SVG maliciosos que ejecutan JavaScript en el navegador de cualquier usuario que acceda a la URL del archivo subido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/03/2026

Vulnerabilidad en prime de birkir (CVE-2025-15550)
Fecha de publicación:
29/01/2026
Idioma:
Español
birkir prime <= 0.4.0.beta.0 contiene una vulnerabilidad de falsificación de petición en sitios cruzados en su endpoint GraphQL que permite a los atacantes explotar peticiones de consulta basadas en GET. Los atacantes pueden elaborar peticiones GET maliciosas para desencadenar acciones no autorizadas contra usuarios privilegiados manipulando los parámetros de consulta de GraphQL.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en AX12 Pro V2 de Tenda (CVE-2026-1610)
Fecha de publicación:
29/01/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en Tenda AX12 Pro V2 16.03.49.24_cn. Afectada por este problema es alguna funcionalidad desconocida del componente Servicio Telnet. Realizar una manipulación resulta en credenciales codificadas de forma rígida. El ataque es posible de ser llevado a cabo remotamente. Un alto grado de complejidad es necesario para el ataque. La explotación se sabe que es difícil. El exploit ha sido hecho público y podría ser usado.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en VIGI C485 V1 de TP-Link Systems Inc. (CVE-2026-1457)
Fecha de publicación:
29/01/2026
Idioma:
Español
Una falla autenticada en el manejo de búfer en la API web de TP-Link VIGI C385 V1 que carece de saneamiento de entrada, puede permitir la corrupción de memoria lo que lleva a la ejecución remota de código. Atacantes autenticados pueden desencadenar un desbordamiento de búfer y potencialmente ejecutar código arbitrario con privilegios elevados.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en A7000R de Totolink (CVE-2026-1601)
Fecha de publicación:
29/01/2026
Idioma:
Español
Se ha identificado una debilidad en Totolink A7000R 4.1cu.4154. El elemento afectado es la función setUploadUserData del archivo /cgi-bin/cstecgi.cgi. La ejecución de una manipulación del argumento FileName puede llevar a inyección de comandos. El ataque puede lanzarse de forma remota. El exploit se ha puesto a disposición del público y podría usarse para ataques.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Cross Site Scripting vulnerability in tale v.2.0.5 allows an attacker to execute arbitrary code.... (CVE-2025-69749)
Fecha de publicación:
29/01/2026
Idioma:
Español
Vulnerabilidad de Cross Site Scripting en tale v.2.0.5 permite a un atacante ejecutar código arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en KiloView (CVE-2026-1453)
Fecha de publicación:
29/01/2026
Idioma:
Español
Una vulnerabilidad de ausencia de autenticación para función crítica en la serie de codificadores KiloView podría permitir a un atacante no autenticado crear o eliminar cuentas de administrador. Esta vulnerabilidad puede otorgar al atacante control administrativo total sobre el producto.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades