Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Red Hat (CVE-2025-11065)
Fecha de publicación:
26/01/2026
Idioma:
Español
Se encontró una falla en github.com/go-viper/mapstructure/v2, en el componente de procesamiento de campos que utiliza mapstructure.WeakDecode. Esta vulnerabilidad permite la revelación de información a través de mensajes de error detallados que pueden filtrar valores de entrada sensibles a través de datos malformados proporcionados por el usuario procesados en contextos críticos para la seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Worklenz (CVE-2025-70368)
Fecha de publicación:
26/01/2026
Idioma:
Español
La versión 2.1.5 de Worklenz contiene una vulnerabilidad de cross-site scripting (XSS) almacenado en la función de Actualizaciones de Proyecto. Un atacante puede enviar una carga útil maliciosa en el campo de texto de Actualizaciones que luego se renderiza en la vista de informes sin la sanitización adecuada. JavaScript malicioso puede ejecutarse en el navegador de una víctima cuando navegan a la página que contiene el campo vulnerable.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2026

Vulnerabilidad en Archer MR600 v5.0 (CVE-2025-14756)
Fecha de publicación:
26/01/2026
Idioma:
Español
Vulnerabilidad de inyección de comandos fue encontrada en el componente de la interfaz de administración del firmware TP-Link Archer MR600 v5, permitiendo a atacantes autenticados ejecutar comandos del sistema con una longitud de caracteres limitada mediante entrada manipulada en la consola de desarrollador del navegador, posiblemente llevando a la interrupción del servicio o a un compromiso total.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en W30E V2 (CVE-2026-24435)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo V16.01.0.19(5037) implementan una política insegura de Intercambio de Recursos de Origen Cruzado (CORS) en puntos finales administrativos autenticados. El dispositivo establece Access-Control-Allow-Origin: * en combinación con Access-Control-Allow-Credentials: true, permitiendo que orígenes controlados por el atacante emitan solicitudes de origen cruzado con credenciales.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en Shenzhen Tenda W30E (CVE-2026-24436)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo V16.01.0.19(5037) no imponen mecanismos de limitación de tasa o de bloqueo de cuenta en los puntos finales de autenticación. Esto permite a los atacantes realizar intentos de fuerza bruta sin restricciones contra las credenciales administrativas.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
28/01/2026

Vulnerabilidad en W30E V2 (CVE-2026-24437)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo la V16.01.0.19(5037) sirven contenido administrativo sensible sin directivas de control de caché apropiadas. Como resultado, los navegadores pueden almacenar localmente respuestas que contienen credenciales, exponiéndolas a un acceso no autorizado posterior.
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/01/2026

Vulnerabilidad en W30E V2 (CVE-2026-24439)
Fecha de publicación:
26/01/2026
Idioma:
Español
El firmware de Shenzhen Tenda W30E V2, versiones hasta la V16.01.0.19(5037) inclusive, no incluye el encabezado de respuesta X-Content-Type-Options: nosniff en las interfaces de gestión web. Como resultado, los navegadores que realizan MIME sniffing pueden interpretar incorrectamente las respuestas influenciadas por el atacante como script ejecutable.
Gravedad CVSS v4.0: BAJA
Última modificación:
28/01/2026

Vulnerabilidad en W30E V2 (CVE-2026-24440)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo V16.01.0.19(5037) permiten cambiar las contraseñas de cuenta a través de la interfaz de mantenimiento sin requerir verificación de la contraseña existente. Esto posibilita cambios de contraseña no autorizados cuando se obtiene acceso al endpoint afectado.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/01/2026

Vulnerabilidad en W30E V2 (CVE-2026-24428)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta la V16.01.0.19(5037) inclusive contienen una falla de autorización en la API de gestión de usuarios que permite a un usuario autenticado con bajos privilegios cambiar la contraseña de la cuenta de administrador. Al enviar una solicitud manipulada directamente al endpoint del backend, un atacante puede eludir las restricciones basadas en roles impuestas por la interfaz web y obtener privilegios administrativos completos.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en W30E V2 (CVE-2026-24429)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo la V16.01.0.19(5037) se envían con una contraseña predefinida por defecto para una cuenta de autenticación integrada que no es necesario cambiar durante la configuración inicial. Un atacante puede aprovechar estas credenciales por defecto para obtener acceso autenticado a la interfaz de gestión.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
29/01/2026

Vulnerabilidad en W30E V2 (CVE-2026-24430)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo la V16.01.0.19(5037) revelan credenciales de cuenta sensibles en texto claro dentro de las respuestas HTTP generadas por la interfaz de mantenimiento. Debido a que la interfaz de gestión es accesible a través de HTTP sin cifrar por defecto, las credenciales pueden quedar expuestas a la interceptación basada en la red.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/01/2026

Vulnerabilidad en W30E V2 (CVE-2026-24431)
Fecha de publicación:
26/01/2026
Idioma:
Español
Las versiones de firmware de Shenzhen Tenda W30E V2 hasta e incluyendo V16.01.0.19(5037) muestran las contraseñas de cuentas de usuario almacenadas en texto plano dentro de la interfaz web administrativa. Cualquier usuario con acceso a las páginas de administración afectadas puede ver directamente las credenciales.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/01/2026
Suscribirse a Vulnerabilidades