Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Totolink LR350 (CVE-2026-1156)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se determinó una vulnerabilidad en Totolink LR350 9.3.5u.6369_B20220309. Afectada por este problema está la función setWiFiBasicCfg del archivo /cgi-bin/cstecgi.cgi. Esta manipulación del argumento ssid causa desbordamiento de búfer. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Totolink LR350 (CVE-2026-1155)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se encontró una vulnerabilidad en Totolink LR350 9.3.5u.6369_B20220309. Afectada por esta vulnerabilidad es la función setWiFiEasyGuestCfg del archivo /cgi-bin/cstecgi.cgi. La manipulación del argumento ssid resulta en desbordamiento de búfer. El ataque puede realizarse desde remoto. El exploit se ha hecho público y podría utilizarse.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Altium 365 (CVE-2026-1181)
Fecha de publicación:
19/01/2026
Idioma:
Español
Los puntos finales del espacio de trabajo de Altium 365 fueron configurados con una política de Intercambio de Recursos de Origen Cruzado (CORS) excesivamente permisiva que permitía solicitudes de origen cruzado con credenciales desde otros subdominios controlados por Altium, incluyendo forum.live.altium.com. Como resultado, el JavaScript que se ejecutaba en esos orígenes podía acceder a las API autenticadas del espacio de trabajo en el contexto de un usuario con sesión iniciada. Cuando se encadena con vulnerabilidades en esas aplicaciones externas, esta mala configuración permite el acceso no autorizado a los datos del espacio de trabajo, acciones administrativas y la elusión de los controles de inclusión en lista blanca de IP, incluso en entornos GovCloud.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en mpay de technical-laohu (CVE-2026-1153)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad fue detectada en technical-laohu mpay hasta 1.2.4. Esto afecta a una función desconocida. Realizar una manipulación resulta en falsificación de petición en sitios cruzados. La explotación remota del ataque es posible. El exploit es ahora público y puede ser usado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en E-Learning System de SourceCodester (CVE-2026-1154)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se ha encontrado una falla en SourceCodester E-Learning System 1.0. Esto afecta a una función desconocida del archivo /admin/modules/lesson/index.php del componente Lesson Module Handler. La ejecución de una manipulación del argumento Título/Descripción puede conducir a cross-site scripting básico. El ataque puede ejecutarse de forma remota. El exploit ha sido publicado y puede ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en mpay de technical-laohu (CVE-2026-1152)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en technical-laohu mpay hasta 1.2.4. El elemento afectado es una función desconocida del componente QR Code Image Handler. Dicha manipulación del argumento codeimg conduce a una carga sin restricciones. El ataque puede ser lanzado de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en mpay de technical-laohu (CVE-2026-1151)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se ha identificado una debilidad en technical-laohu mpay hasta la versión 1.2.4. El elemento afectado es una función desconocida del componente Centro de Usuarios. Esta manipulación del argumento Nickname causa cross site scripting. El ataque puede ser iniciado remotamente. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en LR350 de Totolink (CVE-2026-1150)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en Totolink LR350 9.3.5u.6369_B20220309. Afecta a la función setTracerouteCfg del archivo /cgi-bin/cstecgi.cgi del componente POST Request Handler. La manipulación del argumento command resulta en inyección de comandos. El ataque puede lanzarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en SourceCodester/Patrick Mvuma Patients Waiting Area Queue Management System (CVE-2026-1148)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se determinó una vulnerabilidad en SourceCodester/Patrick Mvuma Patients Waiting Area Queue Management System 1.0. Esta vulnerabilidad afecta a código desconocido. La ejecución de una manipulación puede conducir a una falsificación de petición en sitios cruzados. Es posible lanzar el ataque de forma remota.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en SourceCodester/Patrick Mvuma Patients Waiting Area Queue Management System (CVE-2026-1147)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en SourceCodester/Patrick Mvuma Patients Waiting Area Queue Management System 1.0. Esto afecta una parte desconocida del archivo /php/api_patient_schedule.php. Realizar una manipulación del argumento Reason resulta en cross site scripting. Es posible iniciar el ataque remotamente. El exploit ha sido hecho público y podría ser usado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en LR350 de Totolink (CVE-2026-1149)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se identificó una vulnerabilidad en Totolink LR350 9.3.5u.6369_B20220309. Este problema afecta a la función setDiagnosisCfg del archivo /cgi-bin/cstecgi.cgi del componente POST Request Handler. La manipulación del argumento ip conduce a inyección de comandos. El ataque puede iniciarse remotamente. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Apache Linkis (CVE-2025-59355)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad.<br /> <br /> Cuando org.apache.linkis.metadata.util.HiveUtils.decode() falla al realizar la decodificación Base64, registra la cadena completa del parámetro de entrada en el log a través de logger.error(str + &amp;#39;decode failed&amp;#39;, e). Si el parámetro de entrada contiene información sensible como claves de Hive Metastore, las contraseñas en texto plano quedarán en los archivos de log cuando la decodificación falle, lo que resulta en una fuga de información.<br /> <br /> Alcance Afectado<br /> Componente: Campos sensibles en hive-site.xml (por ejemplo, javax.jdo.option.ConnectionPassword) u otros campos codificados en Base64.<br /> Versión: Apache Linkis 1.0.0 – 1.7.0<br /> <br /> Condiciones de Activación<br /> El valor del elemento de configuración es una cadena Base64 inválida.<br /> Los archivos de log son legibles por usuarios distintos de los administradores de hive-site.xml.<br /> <br /> Severidad: Baja<br /> La probabilidad de fallo en la decodificación Base64 es baja.<br /> La fuga solo se activa cuando los logs de nivel Error están expuestos.<br /> <br /> Remediación<br /> Apache Linkis 1.8.0 y versiones posteriores han reemplazado el log con contenido desensibilizado.<br /> logger.error(&amp;#39;URL decode failed: {}&amp;#39;, e.getMessage()); // Ya no se imprime str<br /> <br /> Se recomienda a los usuarios actualizar a la versión 1.8.0, que corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/01/2026
Suscribirse a Vulnerabilidades