Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Tenda AX-1806 (CVE-2025-70746)
Fecha de publicación:
16/01/2026
Idioma:
Español
Tenda AX-1806 v1.0.0.1 se descubrió que contenía un desbordamiento de pila en el parámetro timeZone de la función fromSetSysTime. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante una solicitud manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2026

Vulnerabilidad en Tenda AX-1806 (CVE-2025-71020)
Fecha de publicación:
16/01/2026
Idioma:
Español
Tenda AX-1806 v1.0.0.1 se descubrió que contenía un desbordamiento de pila en el parámetro de seguridad de la función sub_4C408. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) a través de una solicitud manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2026

Vulnerabilidad en AMD (CVE-2025-29943)
Fecha de publicación:
16/01/2026
Idioma:
Español
Escriba cuál era la condición dentro de las CPUs de AMD que podría permitir a un atacante con privilegios de administrador modificar la configuración del pipeline de la CPU, lo que podría resultar en la corrupción del puntero de pila dentro de un invitado SEV-SNP.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en extensión EasyDiscuss para Joomla de Stackideas (CVE-2026-21625)
Fecha de publicación:
16/01/2026
Idioma:
Español
Cargas proporcionadas por el usuario al componente Easy Discuss para Joomla no se validan correctamente. Las cargas se verifican puramente por extensiones de archivo, no se realizan comprobaciones de tipo MIME.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en extensión EasyDiscuss para Joomla de Stackideas (CVE-2026-21623)
Fecha de publicación:
16/01/2026
Idioma:
Español
Falta de filtrado de entrada conduce a una vulnerabilidad XSS persistente en el manejo de publicaciones del foro del componente Easy Discuss para Joomla.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
30/01/2026

Vulnerabilidad en extensión EasyDiscuss para Joomla de Stackideas (CVE-2026-21624)
Fecha de publicación:
16/01/2026
Idioma:
Español
Falta de filtrado de entrada conduce a una vulnerabilidad XSS persistente en el manejo del texto del avatar del usuario del componente Easy Discuss para Joomla.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
30/01/2026

Vulnerabilidad en SteelSeries Nahimic (CVE-2025-68921)
Fecha de publicación:
16/01/2026
Idioma:
Español
SteelSeries Nahimic 3 1.10.7 permite salto de directorio.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

CVE-2026-0823
Fecha de publicación:
16/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
16/01/2026

Vulnerabilidad en Nu Html Checker (CVE-2025-15104)
Fecha de publicación:
16/01/2026
Idioma:
Español
Nu Html Checker (validator.nu) contiene un bypass de restricción que permite a atacantes remotos hacer que el servidor realice solicitudes HTTP/HTTPS arbitrarias a recursos internos, incluyendo servicios de localhost. Si bien el validador implementa protecciones basadas en nombre de host para bloquear el acceso directo a localhost y 127.0.0.1, estos controles pueden ser eludidos utilizando técnicas de reasociación de DNS o dominios que se resuelven a direcciones de bucle invertido. Este problema afecta a The Nu Html Checker (vnu): la última versión (commit 23f090a11bab8d0d4e698f1ffc197a4fe226a9cd).
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en PSA de ConnectWise (CVE-2026-0695)
Fecha de publicación:
16/01/2026
Idioma:
Español
En versiones de ConnectWise PSA anteriores a 2026.1, las notas de entrada de tiempo almacenadas en la Pista de Auditoría de Entrada de Tiempo pueden ser renderizadas sin aplicar codificación de salida a cierto contenido. Bajo condiciones específicas, esto puede permitir que código de script almacenado se ejecute en el contexto del navegador de un usuario cuando el contenido afectado se muestra.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2026

Vulnerabilidad en PSA de ConnectWise (CVE-2026-0696)
Fecha de publicación:
16/01/2026
Idioma:
Español
En versiones de ConnectWise PSA anteriores a la 2026.1, ciertas cookies de sesión no se configuraron con el atributo HttpOnly. En algunos escenarios, esto podría permitir que scripts del lado del cliente accedieran a los valores de las cookies de sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/01/2026

Vulnerabilidad en Livewire Filemanager de bee interactive (CVE-2025-14894)
Fecha de publicación:
16/01/2026
Idioma:
Español
Livewire Filemanager, comúnmente utilizado en aplicaciones Laravel, contiene LivewireFilemanagerComponent.php, el cual no realiza validación de tipo de archivo y MIME, lo que permite la RCE mediante la carga de un archivo PHP malicioso que luego puede ser ejecutado a través de la URL /storage/ si se ha completado un proceso de configuración comúnmente realizado dentro de las aplicaciones Laravel.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/01/2026
Suscribirse a Vulnerabilidades