Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Hono (CVE-2026-24771)
Fecha de publicación:
27/01/2026
Idioma:
Español
Hono es un framework de aplicación web que proporciona soporte para cualquier tiempo de ejecución de JavaScript. Antes de la versión 4.11.7, existe una vulnerabilidad de Cross-Site Scripting (XSS) en el componente `ErrorBoundary` de la librería hono/jsx. Bajo ciertos patrones de uso, las cadenas no confiables controladas por el usuario pueden ser renderizadas como HTML sin procesar, permitiendo la ejecución arbitraria de scripts en el navegador de la víctima. La versión 4.11.7 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2026

Vulnerabilidad en Fortinet (CVE-2026-24858)
Fecha de publicación:
27/01/2026
Idioma:
Español
Una vulnerabilidad de omisión de autenticación usando una ruta o canal alternativo [CWE-288] en Fortinet FortiAnalyzer 7.6.0 hasta 7.6.5, FortiAnalyzer 7.4.0 hasta 7.4.9, FortiAnalyzer 7.2.0 hasta 7.2.11, FortiAnalyzer 7.0.0 hasta 7.0.15, FortiManager 7.6.0 hasta 7.6.5, FortiManager 7.4.0 hasta 7.4.9, FortiManager 7.2.0 hasta 7.2.11, FortiManager 7.0.0 hasta 7.0.15, FortiOS 7.6.0 hasta 7.6.5, FortiOS 7.4.0 hasta 7.4.10, FortiOS 7.2.0 hasta 7.2.12, FortiOS 7.0.0 hasta 7.0.18, FortiProxy 7.6.0 hasta 7.6.4, FortiProxy 7.4.0 hasta 7.4.12, FortiProxy 7.2.0 hasta 7.2.15, FortiProxy 7.0.0 hasta 7.0.22, FortiWeb 8.0.0 hasta 8.0.3, FortiWeb 7.6.0 hasta 7.6.6, FortiWeb 7.4.0 hasta 7.4.11 puede permitir a un atacante con una cuenta de FortiCloud y un dispositivo registrado iniciar sesión en otros dispositivos registrados en otras cuentas, si la autenticación SSO de FortiCloud está habilitada en esos dispositivos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/05/2026

Vulnerabilidad en Hono (CVE-2026-24473)
Fecha de publicación:
27/01/2026
Idioma:
Español
Hono es un framework de aplicación web que proporciona soporte para cualquier entorno de ejecución de JavaScript. Antes de la versión 4.11.7, el middleware Serve static para el adaptador de Cloudflare Workers contiene una vulnerabilidad de revelación de información que puede permitir a los atacantes leer claves arbitrarias del entorno de Workers. La validación incorrecta de rutas controladas por el usuario puede resultar en acceso no intencionado a claves de activos internos. La versión 4.11.7 contiene un parche para el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/02/2026

Vulnerabilidad en Hono (CVE-2026-24472)
Fecha de publicación:
27/01/2026
Idioma:
Español
Hono es un framework de aplicación web que proporciona soporte para cualquier entorno de ejecución de JavaScript. Antes de la versión 4.11.7, el Middleware de Caché contiene una vulnerabilidad de revelación de información causada por un manejo inadecuado de las directivas de control de caché HTTP. El middleware no respeta los encabezados de control de caché estándar como 'Cache-Control: private' o 'Cache-Control: no-store', lo que puede resultar en que respuestas privadas o autenticadas sean almacenadas en caché y posteriormente expuestas a usuarios no autorizados. La versión 4.11.7 tiene un parche para el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2026

Vulnerabilidad en Secret Server On-Prem (CVE-2025-12810)
Fecha de publicación:
27/01/2026
Idioma:
Español
Vulnerabilidad de autenticación incorrecta en Delinea Inc. Secret Server On-Prem (módulos de rotación de contraseñas RPC). Este problema afecta a Secret Server On-Prem: 11.8.1, 11.9.6, 11.9.25.<br /> <br /> Un secreto con &amp;#39;cambiar contraseña al registrarse&amp;#39; habilitado se registra automáticamente incluso cuando el cambio de contraseña falla después de alcanzar su límite de reintentos. Esto deja el secreto en un estado inconsistente con la contraseña incorrecta.<br /> <br /> Remediación: Actualizar a 11.9.47 o posterior. El secreto permanecerá desprotegido cuando el cambio de contraseña falle.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/02/2026

Vulnerabilidad en ibaPDA (CVE-2025-14988)
Fecha de publicación:
27/01/2026
Idioma:
Español
Un problema de seguridad ha sido identificado en ibaPDA que podría permitir acciones no autorizadas en el sistema de archivos bajo ciertas condiciones. Esto podría impactar la confidencialidad, la integridad o la disponibilidad del sistema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en GnuPG (CVE-2026-24881)
Fecha de publicación:
27/01/2026
Idioma:
Español
En GnuPG anterior a 2.5.17, un mensaje CMS (S/MIME) EnvelopedData manipulado que transporta una clave de sesión envuelta de tamaño excesivo puede causar un desbordamiento de búfer basado en pila en gpg-agent durante el manejo de PKDECRYPT--kem=CMS. Esto puede ser fácilmente aprovechado para una denegación de servicio; sin embargo, también hay corrupción de memoria que podría conducir a la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2026

Vulnerabilidad en GnuPG (CVE-2026-24882)
Fecha de publicación:
27/01/2026
Idioma:
Español
En GnuPG anterior a 2.5.17, existe un desbordamiento de búfer basado en pila en tpm2daemon durante el manejo del comando PKDECRYPT para claves RSA y ECC respaldadas por TPM.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/02/2026

Vulnerabilidad en GnuPG (CVE-2026-24883)
Fecha de publicación:
27/01/2026
Idioma:
Español
En GnuPG anterior a 2.5.17, una longitud de paquete de firma larga hace que parse_signature devuelva éxito con sig-&amp;gt;data[] establecido a un valor NULL, lo que lleva a una denegación de servicio (caída de la aplicación).
Gravedad CVSS v3.1: BAJA
Última modificación:
06/02/2026

Vulnerabilidad en OctoPrint (CVE-2026-23892)
Fecha de publicación:
27/01/2026
Idioma:
Español
OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. Las versiones de OctoPrint hasta la 1.11.5 inclusive están afectadas por una vulnerabilidad (teórica) de ataque de temporización que permite la extracción de claves API a través de la red. Debido al uso de una comparación basada en caracteres que se interrumpe en el primer carácter no coincidente durante la validación de la clave API, en lugar de un método criptográfico con tiempo de ejecución estático independientemente del punto de no coincidencia, un atacante con acceso basado en red a una instancia de OctoPrint afectada podría extraer claves API válidas en la instancia midiendo los tiempos de respuesta de las respuestas de acceso denegado y adivinar una clave API carácter por carácter. La vulnerabilidad está parcheada en la versión 1.11.6. La probabilidad de que este ataque funcione realmente depende en gran medida de la latencia, el ruido y parámetros similares de la red. Una prueba de concepto real no se ha logrado hasta ahora. Aun así, como siempre, se aconseja a los administradores que no expongan su instancia de OctoPrint en redes hostiles, especialmente no en la Internet pública.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/02/2026

Vulnerabilidad en Wasmtime (CVE-2026-24116)
Fecha de publicación:
27/01/2026
Idioma:
Español
Wasmtime es un entorno de ejecución para WebAssembly. A partir de la versión 29.0.0 y antes de las versiones 36.0.5, 40.0.3 y 41.0.1, en plataformas x86-64 con AVX, la compilación de Wasmtime de la instrucción WebAssembly f64.copysign con Cranelift puede cargar 8 bytes más de los necesarios. Cuando las trampas basadas en señales están deshabilitadas, esto puede resultar en un segfault no detectado debido a la carga desde páginas de guardia no mapeadas. Con las páginas de guardia deshabilitadas, es posible que se carguen datos fuera de la sandbox, pero a menos que haya otro error en Cranelift, estos datos no son visibles para los invitados de WebAssembly. Wasmtime 36.0.5, 40.0.3 y 41.0.1 han sido lanzadas para solucionar este problema. Se recomienda a los usuarios actualizar a las versiones parcheadas de Wasmtime. Otras versiones afectadas no están parcheadas y los usuarios deberían actualizar a una versión principal compatible en su lugar. Este error se puede eludir habilitando las trampas basadas en señales. Si bien deshabilitar las páginas de guardia puede ser una solución rápida en algunas situaciones, no se recomienda deshabilitar las páginas de guardia, ya que es una medida clave de defensa en profundidad de Wasmtime.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/02/2026

Vulnerabilidad en Hono (CVE-2026-24398)
Fecha de publicación:
27/01/2026
Idioma:
Español
Hono es un framework de aplicación web que proporciona soporte para cualquier entorno de ejecución de JavaScript. Antes de la versión 4.11.7, el Middleware de Restricción de IP en Hono es vulnerable a una omisión de validación de dirección IP. El patrón &amp;#39;IPV4_REGEX&amp;#39; y la función &amp;#39;convertIPv4ToBinary&amp;#39; en &amp;#39;src/utils/ipaddr.ts&amp;#39; no validan correctamente que los valores de octeto IPv4 estén dentro del rango válido de 0-255, permitiendo a los atacantes crear direcciones IP malformadas que eluden los controles de acceso basados en IP. La versión 4.11.7 contiene un parche para el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2026
Suscribirse a Vulnerabilidades