Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en hrms de pbrong (CVE-2026-1161)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad fue detectada en pbrong hrms 1.0.1. El elemento afectado es la función UpdateRecruitmentById del archivo /handler/recruitment.go. La manipulación resulta en cross site scripting. El ataque puede ser lanzado remotamente. El exploit es ahora público y puede ser usado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en quicly de h2o (CVE-2025-61684)
Fecha de publicación:
19/01/2026
Idioma:
Español
Quicly, una implementación del protocolo QUIC de IETF, es susceptible a un ataque de denegación de servicio anterior al commit d9d3df6a8530a102b57d840e39b0311ce5c9e14e. Un atacante remoto puede explotar estos errores para desencadenar un fallo de aserción que bloquea el proceso que usa Quicly. El commit d9d3df6a8530a102b57d840e39b0311ce5c9e14e soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en WeasyPrint de Kozea (CVE-2025-68616)
Fecha de publicación:
19/01/2026
Idioma:
Español
WeasyPrint ayuda a los desarrolladores web a crear documentos PDF. Antes de la versión 68.0, existe una omisión de protección de falsificación de petición del lado del servidor (SSRF) en el `default_url_fetcher` de WeasyPrint. La vulnerabilidad permite a los atacantes acceder a recursos de red internos (como servicios de `localhost` o puntos finales de metadatos en la nube) incluso cuando un desarrollador ha implementado un `url_fetcher` personalizado para bloquear dicho acceso. Esto ocurre porque la librería `urllib` subyacente sigue las redirecciones HTTP automáticamente sin revalidar el nuevo destino contra la política de seguridad del desarrollador. La versión 68.0 contiene un parche para el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Automation Runtime de B&R Industrial Automation GmbH (CVE-2025-11044)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad de asignación de recursos sin límites ni limitación en el componente ANSL-Server de las versiones de B&R Automation Runtime anteriores a 6.5 y anteriores a R4.93 podría ser explotada por un atacante no autenticado en la red para ganar una condición de carrera, resultando en condiciones permanentes de denegación de servicio (DoS) en los dispositivos afectados.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Directory Management System de PHPGurukul (CVE-2026-1160)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en PHPGurukul Directory Management System 1.0. Afectada es una función desconocida del archivo /index.php del componente Search. La manipulación del argumento searchdata conduce a inyección SQL. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en Automation Studio (CVE-2025-11043)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad de validación de certificado incorrecta en el cliente OPC-UA y el cliente ANSL sobre TLS utilizada en versiones de Automation Studio anteriores a la 6.5 podría permitir a un atacante no autenticado en la red posicionarse para interceptar e interferir con los intercambios de datos.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en hexpm (CVE-2026-21618)
Fecha de publicación:
19/01/2026
Idioma:
Español
Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web (XSS o &amp;#39;cross-site scripting&amp;#39;) vulnerabilidad en hexpm hexpm/hexpm (módulos &amp;#39;Elixir.HexpmWeb.SharedAuthorizationView&amp;#39;) permite cross-site scripting (XSS). Esta vulnerabilidad está asociada con los archivos de programa lib/hexpm_web/views/shared_authorization_view.ex y las rutinas de programa &amp;#39;Elixir.HexpmWeb.SharedAuthorizationView&amp;#39;:render_grouped_scopes/3.<br /> <br /> Este problema afecta a hexpm: desde 617e44c71f1dd9043870205f371d375c5c4d886d antes de c692438684ead90c3bcbfb9ccf4e63c768c668a8, desde pkg:github/hexpm/hexpm@617e44c71f1dd9043870205f371d375c5c4d886d antes de pkg:github/hexpm/hexpm@c692438684ead90c3bcbfb9ccf4e63c768c668a8; hex.pm: desde 2025-10-01 antes de 2026-01-19.
Gravedad CVSS v4.0: ALTA
Última modificación:
06/04/2026

Vulnerabilidad en Server de Devolutions (CVE-2026-0610)
Fecha de publicación:
19/01/2026
Idioma:
Español
Vulnerabilidad de inyección SQL en sesiones remotas en Devolutions Server. Este problema afecta a Devolutions Server 2025.3.1 hasta 2025.3.12
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2026

Vulnerabilidad en Server de Devolutions (CVE-2026-1007)
Fecha de publicación:
19/01/2026
Idioma:
Español
Vulnerabilidad de autorización incorrecta en el componente de puerta de enlace virtual en Devolutions Server permite a los atacantes eludir las reglas de denegación de IP. Este problema afecta a Server: desde 2025.3.1 hasta 2025.3.12.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en LR350 de Totolink (CVE-2026-1158)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en Totolink LR350 9.3.5u.6369_B20220309. Esta vulnerabilidad afecta a la función setWizardCfg del archivo /cgi-bin/cstecgi.cgi del componente POST Request Handler. Realizar una manipulación del argumento ssid resulta en desbordamiento de búfer. El ataque puede iniciarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Online Frozen Foods Ordering System de itsourcecode (CVE-2026-1159)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se ha identificado una debilidad en itsourcecode Online Frozen Foods Ordering System 1.0. Este problema afecta algún procesamiento desconocido del archivo /order_online.php. La ejecución de una manipulación del argumento product_name puede llevar a una inyección SQL. El ataque puede lanzarse de forma remota. El exploit se ha puesto a disposición del público y podría usarse para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en LR350 de Totolink (CVE-2026-1157)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se identificó una vulnerabilidad en Totolink LR350 9.3.5u.6369_B20220309. Esto afecta a la función setWiFiEasyCfg del archivo /cgi-bin/cstecgi.cgi. Dicha manipulación del argumento ssid conduce a un desbordamiento de búfer. Es posible lanzar el ataque de forma remota. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026
Suscribirse a Vulnerabilidades