Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Omada Controller (CVE-2025-9522)
Fecha de publicación:
26/01/2026
Idioma:
Español
Falsificación Ciega de Petición del Lado del Servidor (SSRF) en Controladores Omada a través de la funcionalidad de webhook, permitiendo peticiones manipuladas a servicios internos, lo que puede llevar a la enumeración de información.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en Red Hat (CVE-2025-9615)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una falla en NetworkManager. El paquete NetworkManager permite el acceso a archivos que pueden pertenecer a otros usuarios. NetworkManager permite a usuarios no-root configurar la red del sistema. El demonio se ejecuta con privilegios de root y puede acceder a archivos propiedad de usuarios diferentes de aquel que añadió la conexión.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en Red Hat (CVE-2026-1190)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró un fallo en la funcionalidad de intermediación SAML de Keycloak. Cuando Keycloak está configurado como un cliente en una configuración de Security Assertion Markup Language (SAML), falla al validar la marca de tiempo 'NotOnOrAfter' dentro de 'SubjectConfirmationData'. Esto permite a un atacante retrasar la expiración de las respuestas SAML, extendiendo potencialmente el tiempo que una respuesta se considera válida y llevando a duraciones de sesión inesperadas o consumo de recursos.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en Online Music Site (CVE-2026-1443)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en code-projects Online Music Site 1.0. Afectada por este problema es alguna funcionalidad desconocida del archivo /Administrator/PHP/AdminDeleteUser.php. Esta manipulación del argumento ID causa inyección SQL. El ataque puede ser iniciado remotamente. El exploit ha sido publicado y puede ser usado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en Red Hat (CVE-2025-9820)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una falla en la librería GnuTLS, específicamente en la función gnutls_pkcs11_token_init() que maneja la inicialización de tokens PKCS#11. Cuando se procesa una etiqueta de token más larga de lo esperado, la función escribe más allá del final de un búfer de pila de tamaño fijo. Este error de programación puede causar que la aplicación que usa GnuTLS se bloquee o, en ciertas condiciones, ser explotado para la ejecución de código. Como resultado, los sistemas o aplicaciones que dependen de GnuTLS pueden ser vulnerables a ataques de denegación de servicio o escalada de privilegios local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2026

Vulnerabilidad en Omada Controller (CVE-2025-9521)
Fecha de publicación:
26/01/2026
Idioma:
Español
Vulnerabilidad de omisión de confirmación de contraseña en controladores Omada, permitiendo a un atacante con un token de sesión válido omitir la verificación secundaria y cambiar la contraseña del usuario sin la confirmación adecuada, lo que lleva a una seguridad de cuenta debilitada.
Gravedad CVSS v4.0: BAJA
Última modificación:
11/03/2026

Vulnerabilidad en Omada Controller (CVE-2025-9520)
Fecha de publicación:
26/01/2026
Idioma:
Español
Existe una vulnerabilidad IDOR en los Controladores Omada que permite a un atacante con permisos de Administrador manipular solicitudes y potencialmente secuestrar la cuenta de Propietario.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en Red Hat (CVE-2025-14525)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una vulnerabilidad en kubevirt. Un usuario dentro de una máquina virtual (VM), si el agente invitado está activo, puede explotar esto al hacer que el agente informe un número excesivo de interfaces de red. Esta acción puede sobrecargar la capacidad del sistema para almacenar actualizaciones de configuración de la VM, bloqueando eficazmente los cambios en la Instancia de Máquina Virtual (VMI). Esto permite al usuario de la VM restringir la capacidad del administrador de la VM para gestionar la VM, lo que lleva a una denegación de servicio para las operaciones administrativas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Red Hat (CVE-2025-14969)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una vulnerabilidad en Hibernate Reactive. Cuando un endpoint HTTP está expuesto para realizar operaciones de base de datos, un cliente remoto puede cerrar prematuramente la conexión HTTP. Esta acción puede provocar la fuga de conexiones del pool de conexiones de la base de datos, lo que podría causar una denegación de servicio (DoS) al agotar las conexiones de base de datos disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Gi-docgen (CVE-2025-11687)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró un defecto en gi-docgen. Esta vulnerabilidad permite la ejecución arbitraria de JavaScript en el contexto de la página — permitiendo el acceso al DOM, el robo de cookies de sesión y otros ataques del lado del cliente — a través de una URL manipulada que suministra un valor malicioso al parámetro GET q (XSS DOM reflejado).
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Red Hat (CVE-2025-14459)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una falla en KubeVirt Containerized Data Importer (CDI). Esta vulnerabilidad permite a un usuario clonar PersistentVolumeClaims (PVCs) desde espacios de nombres no autorizados, lo que resulta en acceso no autorizado a datos a través del mecanismo de origen de PVC DataImportCron.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Red Hat (CVE-2025-11065)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una falla en github.com/go-viper/mapstructure/v2, en el componente de procesamiento de campos que utiliza mapstructure.WeakDecode. Esta vulnerabilidad permite la revelación de información a través de mensajes de error detallados que pueden filtrar valores de entrada sensibles a través de datos malformados proporcionados por el usuario procesados en contextos críticos para la seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades