Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-67603
Fecha de publicación:
08/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** A Improper Authorization vulnerability in Foomuuri llows arbitrary users to influence the firewall configuration.This issue affects Foomuuri: from ? before 0.31.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en coreruleset (CVE-2026-21876)
Fecha de publicación:
08/01/2026
Idioma:
Español
El conjunto de reglas base de OWASP (CRS) es un conjunto de reglas genéricas de detección de ataques para usar con firewalls de aplicaciones web compatibles. Antes de las versiones 4.22.0 y 3.3.8, la regla actual 922110 tiene un error al procesar solicitudes multipart con múltiples partes. Cuando la primera regla en una cadena itera sobre una colección (como 'MULTIPART_PART_HEADERS'), las variables de captura ('TX:0', 'TX:1') se sobrescriben con cada iteración. Solo el último valor capturado está disponible para la regla encadenada, lo que significa que los conjuntos de caracteres maliciosos en partes anteriores pueden pasarse por alto si una parte posterior tiene un conjunto de caracteres legítimo. Las versiones 4.22.0 y 3.3.8 parchean el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/04/2026

Vulnerabilidad en v2 de miniflux (CVE-2026-21885)
Fecha de publicación:
08/01/2026
Idioma:
Español
Miniflux 2 es un lector de feeds de código abierto. Antes de la versión 2.2.16, el endpoint de proxy de medios de Miniflux ('GET /proxy/{encodedDigest}/{encodedURL}') puede ser abusado para realizar Falsificación de Petición del Lado del Servidor (SSRF). Un usuario autenticado puede hacer que Miniflux genere una URL de proxy firmada para URLs de medios elegidas por el atacante incrustadas en el contenido de la entrada del feed, incluyendo direcciones internas (p. ej., localhost, rangos privados RFC1918 o endpoints de metadatos de enlace local). Solicitar la URL resultante '/proxy/...' hace que Miniflux obtenga y devuelva la respuesta interna. La versión 2.2.16 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en ZimaOS de IceWhaleTech (CVE-2026-21891)
Fecha de publicación:
08/01/2026
Idioma:
Español
ZimaOS es un fork de CasaOS, un sistema operativo para dispositivos Zima y sistemas x86-64 con UEFI. En versiones hasta la 1.5.0 inclusive, la aplicación verifica la validez del nombre de usuario, pero parece omitir, malinterpretar o validar incorrectamente la contraseña cuando el nombre de usuario proporcionado coincide con una cuenta de servicio de sistema conocida. La función de inicio de sesión de la aplicación no maneja correctamente el resultado de la validación de la contraseña para estos usuarios, otorgando efectivamente acceso autenticado a cualquiera que conozca uno de estos nombres de usuario comunes y proporcione cualquier contraseña. A la fecha de publicación, no hay versiones parcheadas conocidas disponibles.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/01/2026

Vulnerabilidad en parsl de Parsl (CVE-2026-21892)
Fecha de publicación:
08/01/2026
Idioma:
Español
Parsl es una biblioteca de scripting paralelo de Python. Una vulnerabilidad de inyección SQL existe en el componente parsl-visualize de versiones anteriores a 2026.01.05. La aplicación construye consultas SQL utilizando formato de cadena inseguro (operador % de Python) con entrada proporcionada por el usuario (workflow_id) directamente desde rutas URL. Esto permite a un atacante no autenticado con acceso al panel de visualización inyectar comandos SQL arbitrarios, lo que podría llevar a la exfiltración de datos o a la denegación de servicio contra la base de datos de monitoreo. La versión 2026.01.05 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en RSA de RustCrypto (CVE-2026-21895)
Fecha de publicación:
08/01/2026
Idioma:
Español
La caja 'rsa' es una implementación RSA escrita en Rust. Antes de la versión 0.9.10, al crear una clave privada RSA a partir de sus componentes, la construcción entra en pánico en lugar de devolver un error cuando uno de los números primos es '1'. La versión 0.9.10 soluciona el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
12/03/2026

Vulnerabilidad en Red Hat (CVE-2025-14025)
Fecha de publicación:
08/01/2026
Idioma:
Español
Se encontró una falla en Ansible Automation Platform (AAP). Los tokens de API OAuth2 con alcance de solo lectura en AAP se aplican a nivel de Gateway para operaciones específicas del Gateway. Sin embargo, esta vulnerabilidad permite que los tokens de solo lectura realicen operaciones de escritura en servicios de backend (por ejemplo, Controller, Hub, EDA). Si esta falla fuera explotada, las capacidades de un atacante solo estarían limitadas por los controles de acceso basados en roles (RBAC).
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

CVE-2025-8306
Fecha de publicación:
08/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Asseco InfoMedica is a comprehensive solution used to manage both administrative and medical tasks in the healthcare sector. A low privileged user is able to obtain encoded passwords of all other accounts (including main administrator) due to lack of granularity in access control. <br /> Chained exploitation of this vulnerability and CVE-2025-8307 allows an attacker to escalate privileges. This vulnerability has been fixed in versions 4.50.1 and 5.38.0
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

CVE-2025-8307
Fecha de publicación:
08/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Asseco InfoMedica is a comprehensive solution used to manage both administrative and medical tasks in the healthcare sector. Passwords of all users are stored in a database in an encoded format. An attacker in possession of these encoded passwords is able to decode them by using an algorithm embedded in the client-side part of the software. <br /> This vulnerability has been fixed in versions 4.50.1 and 5.38.0
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

CVE-2025-69260
Fecha de publicación:
08/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** A message out-of-bounds read vulnerability in Trend Micro Apex Central could allow a remote attacker to create a denial-of-service condition on affected installations.<br /> <br /> Please note: authentication is not required in order to exploit this vulnerability.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/01/2026

CVE-2025-69259
Fecha de publicación:
08/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** A message unchecked NULL return value vulnerability in Trend Micro Apex Central could allow a remote attacker to create a denial-of-service condition on affected installations.<br /> <br /> Please note: authentication is not required in order to exploit this vulnerability..
Gravedad CVSS v3.1: ALTA
Última modificación:
15/01/2026

CVE-2026-0719
Fecha de publicación:
08/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was identified in the NTLM authentication handling of the libsoup HTTP library, used by GNOME and other applications for network communication. When processing extremely long passwords, an internal size calculation can overflow due to improper use of signed integers. This results in incorrect memory allocation on the stack, followed by unsafe memory copying. As a result, applications using libsoup may crash unexpectedly, creating a denial-of-service risk.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades