Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en YouTube Feed Pro de Awesome Motive (CVE-2025-12002)
Fecha de publicación:
17/01/2026
Idioma:
Español
El plugin Feeds para YouTube Pro para WordPress es vulnerable a la lectura arbitraria de archivos en todas las versiones hasta la 2.6.0, inclusive, a través de la acción AJAX 'sby_check_wp_submit'. Esto se debe a una sanitización insuficiente de los datos proporcionados por el usuario y al uso de esos datos en una operación de archivo. Esto permite a atacantes no autenticados leer el contenido de archivos arbitrarios en el servidor, que pueden contener información sensible, siempre que la configuración 'Save Featured Images' esté habilitada y 'Disable WP Posts' esté deshabilitada. Nota: Esta vulnerabilidad solo afecta a la versión Pro de Feeds para YouTube.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Secure Access de Absolute Security (CVE-2026-0518)
Fecha de publicación:
17/01/2026
Idioma:
Español
CVE-2026-0518 es una vulnerabilidad de cross-site scripting en versiones de Secure Access anteriores a la 14.20. Un atacante con privilegios administrativos puede interferir con el uso de la consola por parte de otro administrador.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/02/2026

Vulnerabilidad en Secure Access de Absolute Security (CVE-2026-0519)
Fecha de publicación:
17/01/2026
Idioma:
Español
En Secure Access 12.70 y previo a la 14.20, el subsistema de registro podría escribir un token de autenticación sin redactar en los registros bajo ciertas configuraciones. Cualquier parte con acceso a esos registros podría leer el token y reutilizarlo para acceder a un sistema integrado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/02/2026

Vulnerabilidad en Secure Access de Absolute Security (CVE-2026-0517)
Fecha de publicación:
17/01/2026
Idioma:
Español
CVE-2026-0517 es una vulnerabilidad de denegación de servicio en versiones de Secure Access Server anteriores a la 14.20. Un atacante puede enviar un paquete especialmente diseñado a un servidor y provocar que el servidor se bloquee.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/02/2026

Vulnerabilidad en gradle (CVE-2026-22816)
Fecha de publicación:
16/01/2026
Idioma:
Español
Gradle es una herramienta de automatización de compilaciones, y su herramienta de plataforma nativa proporciona enlaces Java para APIs nativas. Al resolver dependencias en versiones anteriores a la 9.3.0, algunas excepciones no eran tratadas como errores fatales y no causarían la desactivación de un repositorio. Si una compilación encontraba una de estas excepciones, Gradle continuaría con el siguiente repositorio en la lista y potencialmente resolvería dependencias de un repositorio diferente. Si una compilación de Gradle utilizaba un nombre de host irresoluble, Gradle seguiría funcionando siempre y cuando todas las dependencias pudieran resolverse desde otro repositorio. Un nombre de host irresoluble podría ser causado por permitir que el registro del nombre de dominio de un repositorio caduque o por escribir mal el nombre de dominio real. Este comportamiento podría permitir a un atacante registrar un servicio bajo el nombre de host utilizado por la compilación y servir artefactos maliciosos. El ataque requiere que el repositorio esté listado antes que otros en la configuración de la compilación. Gradle ha introducido un cambio en el comportamiento en Gradle 9.3.0 para dejar de buscar otros repositorios al encontrar estos errores.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en gradle (CVE-2026-22865)
Fecha de publicación:
16/01/2026
Idioma:
Español
Gradle es una herramienta de automatización de compilación, y su herramienta de plataforma nativa proporciona enlaces Java para APIs nativas. Al resolver dependencias en versiones anteriores a la 9.3.0, algunas excepciones no se trataban como errores fatales y no causarían la deshabilitación de un repositorio. Si una compilación encontraba una de estas excepciones, Gradle continuaría con el siguiente repositorio de la lista y potencialmente resolvería dependencias de un repositorio diferente. Una excepción como NoHttpResponseException puede indicar errores transitorios. Si los errores persisten después de un número máximo de reintentos, Gradle continuaría con el siguiente repositorio. Este comportamiento podría permitir a un atacante interrumpir el servicio de un repositorio y aprovechar otro repositorio para servir artefactos maliciosos. Este ataque requiere que el atacante tenga control sobre un repositorio después del repositorio interrumpido. Gradle ha introducido un cambio de comportamiento en Gradle 9.3.0 para dejar de buscar en otros repositorios al encontrar estos errores.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/02/2026

CVE-2024-8506
Fecha de publicación:
16/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
16/01/2026

CVE-2025-5102
Fecha de publicación:
16/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
16/01/2026

CVE-2025-5489
Fecha de publicación:
16/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
16/01/2026

CVE-2024-8491
Fecha de publicación:
16/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
16/01/2026

Vulnerabilidad en node-tar de isaacs (CVE-2026-23745)
Fecha de publicación:
16/01/2026
Idioma:
Español
node-tar es un Tar para Node.js. La biblioteca node-tar (<= 7.5.2) no sanea la ruta de enlace de las entradas Link (enlace duro) y SymbolicLink cuando preservePaths es falso (el comportamiento seguro predeterminado). Esto permite a archivos maliciosos eludir la restricción de la raíz de extracción, lo que lleva a la Sobrescritura Arbitraria de Archivos mediante enlaces duros y al Envenenamiento de Symlink mediante destinos de symlink absolutos. Esta vulnerabilidad está corregida en 7.5.3.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Microsoft Power Apps Desktop Client de Microsoft (CVE-2026-20960)
Fecha de publicación:
16/01/2026
Idioma:
Español
Autorización indebida en Microsoft Power Apps permite a un atacante autorizado ejecutar código a través de una red.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2026
Suscribirse a Vulnerabilidades