Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20912)
Fecha de publicación:
22/01/2026
Idioma:
Español
Gitea no valida correctamente la propiedad del repositorio al vincular adjuntos a las versiones. Un adjunto subido a un repositorio privado podría vincularse potencialmente a una versión en un repositorio público diferente, haciéndolo accesible a usuarios no autorizados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20897)
Fecha de publicación:
22/01/2026
Idioma:
Español
Gitea no valida correctamente la propiedad del repositorio al eliminar bloqueos de Git LFS. Un usuario con acceso de escritura a un repositorio podría eliminar bloqueos LFS pertenecientes a otros repositorios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20736)
Fecha de publicación:
22/01/2026
Idioma:
Español
Gitea no verifica correctamente el contexto del repositorio al eliminar adjuntos. Un usuario que previamente subió un adjunto a un repositorio podría eliminarlo después de perder el acceso a ese repositorio al realizar la solicitud a través de un repositorio diferente al que puede acceder.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20750)
Fecha de publicación:
22/01/2026
Idioma:
Español
Gitea no valida correctamente la titularidad de los proyectos en las operaciones de proyectos de la organización. Un usuario con permisos de escritura en proyectos de una organización podría modificar proyectos pertenecientes a una organización diferente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20800)
Fecha de publicación:
22/01/2026
Idioma:
Español
La API de notificaciones de Gitea no revalida los permisos de acceso al repositorio al devolver los detalles de la notificación. Después de que se revoque el acceso de un usuario a un repositorio privado, aún pueden ver los títulos de las incidencias y las solicitudes de extracción a través de notificaciones recibidas previamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20883)
Fecha de publicación:
22/01/2026
Idioma:
Español
La API del cronómetro de Gitea no revalida los permisos de acceso al repositorio. Después de que se revoca el acceso de un usuario a un repositorio privado, aún pueden ver los títulos de las incidencias y los nombres de los repositorios a través de cronómetros iniciados previamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20888)
Fecha de publicación:
22/01/2026
Idioma:
Español
Gitea no verifica correctamente la autorización al cancelar fusiones automáticas programadas a través de la interfaz web. Un usuario con acceso de lectura a las solicitudes de extracción podría cancelar fusiones automáticas programadas por otros usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Hubitat (CVE-2026-1201)
Fecha de publicación:
22/01/2026
Idioma:
Español
Una vulnerabilidad de elusión de autorización a través de una clave controlada por el usuario en los controladores de automatización del hogar Hubitat Elevation anteriores a la versión 2.4.2.157 podría permitir a un usuario remoto autenticado controlar dispositivos conectados fuera de su ámbito de autorización mediante la manipulación de solicitudes del lado del cliente.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-0798)
Fecha de publicación:
22/01/2026
Idioma:
Español
Gitea puede enviar correos electrónicos de notificación de lanzamiento para repositorios privados a usuarios cuyo acceso ha sido revocado. Cuando un repositorio cambia de público a privado, los usuarios que previamente seguían el repositorio pueden seguir recibiendo notificaciones de lanzamiento, divulgando potencialmente títulos de lanzamiento, etiquetas y contenido.
Gravedad CVSS v3.1: BAJA
Última modificación:
29/01/2026

Vulnerabilidad en TP-Link Systems Inc. (CVE-2025-9289)
Fecha de publicación:
22/01/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) fue identificada en un parámetro en los Controladores Omada debido a una sanitización de entrada inadecuada. La explotación requiere condiciones avanzadas, como el posicionamiento en la red o la emulación de una entidad de confianza, y la interacción del usuario por parte de un administrador autenticado. Si tiene éxito, un atacante podría ejecutar JavaScript arbitrario en el navegador del administrador, exponiendo potencialmente información sensible y comprometiendo la confidencialidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Weintek (CVE-2025-14750)
Fecha de publicación:
22/01/2026
Idioma:
Español
La aplicación web no verifica suficientemente las entradas que se asumen como inmutables pero que en realidad son controlables externamente. Un usuario de bajo privilegio puede modificar los parámetros y potencialmente manipular los privilegios a nivel de cuenta.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Weintek (CVE-2025-14751)
Fecha de publicación:
22/01/2026
Idioma:
Español
Un usuario de bajo privilegio puede omitir las credenciales de la cuenta sin confirmar el estado de autenticación actual del usuario, lo que puede llevar a una escalada de privilegios no autorizada.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades