Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Dive de OpenAgentPlatform (CVE-2026-23523)
Fecha de publicación:
16/01/2026
Idioma:
Español
Dive es una aplicación de escritorio de host MCP de código abierto que permite la integración con LLM de llamada a funciones. Antes de 0.13.0, un deeplink manipulado puede instalar una configuración de servidor MCP controlada por el atacante sin suficiente confirmación del usuario y puede llevar a la ejecución arbitraria de comandos locales en la máquina de la víctima. Esta vulnerabilidad se corrige en 0.13.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/02/2026

Vulnerabilidad en distributed de dask (CVE-2026-23528)
Fecha de publicación:
16/01/2026
Idioma:
Español
Dask distributed es un planificador de tareas distribuido para Dask. Antes de 2026.1.0, cuando Jupyter Lab, jupyter-server-proxy y Dask distributed se ejecutan todos juntos, es posible crear una URL que resultará en la ejecución de código por parte de Jupyter debido a un error de cross-site-scripting (XSS) en el panel de control de Dask. Es posible para los atacantes crear una URL de phishing que asume que Jupyter Lab y Dask pueden estar ejecutándose en localhost y usando puertos predeterminados. Si un usuario hace clic en el enlace malicioso, se abrirá una página de error en el panel de control de Dask a través del proxy de Jupyter Lab, lo que hará que se ejecute código por el kernel de Python predeterminado de Jupyter. Esta vulnerabilidad está corregida en 2026.1.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/03/2026

Vulnerabilidad en Postgres Enterprise Manager (PEM) de EnterpriseDB (CVE-2026-0949)
Fecha de publicación:
16/01/2026
Idioma:
Español
Las versiones de PEM anteriores a la 9.8.1 están afectadas por una vulnerabilidad de cross-site scripting (XSS) almacenado que permite a los usuarios con acceso al menú 'Manage Charts' inyectar JavaScript arbitrario al crear un nuevo gráfico, el cual es luego ejecutado por cualquier usuario que acceda al gráfico. Por defecto, solo el superusuario y los usuarios con privilegios pem_admin o pem_super_admin pueden acceder al menú 'Manage Charts'.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Google BigQuery Sink connector (CVE-2026-23529)
Fecha de publicación:
16/01/2026
Idioma:
Español
El Conector de Kafka Connect para BigQuery es una implementación de un conector de sumidero de Apache Kafka a Google BigQuery. Antes de la versión 2.11.0, existe una lectura arbitraria de archivos en el conector de sumidero de Google BigQuery. El conector de sumidero de Kafka Connect para Google BigQuery de Aiven requiere configuraciones de credenciales de Google Cloud para la autenticación a los servicios de BigQuery. Durante la configuración del conector, los usuarios pueden proporcionar archivos JSON de credenciales que son procesados por las librerías de autenticación de Google. El servicio no valida las configuraciones de credenciales de origen externo antes de pasarlas a las librerías de autenticación. Un atacante puede explotar esto al proporcionar una configuración de credenciales maliciosa que contenga rutas credential_source.file manipuladas o puntos finales credential_source.url, lo que resulta en lecturas arbitrarias de archivos o ataques SSRF.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Tenda AX-1806 (CVE-2025-70746)
Fecha de publicación:
16/01/2026
Idioma:
Español
Tenda AX-1806 v1.0.0.1 se descubrió que contenía un desbordamiento de pila en el parámetro timeZone de la función fromSetSysTime. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante una solicitud manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2026

Vulnerabilidad en Tenda AX-1806 (CVE-2025-71020)
Fecha de publicación:
16/01/2026
Idioma:
Español
Tenda AX-1806 v1.0.0.1 se descubrió que contenía un desbordamiento de pila en el parámetro de seguridad de la función sub_4C408. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) a través de una solicitud manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2026

Vulnerabilidad en AMD (CVE-2025-29943)
Fecha de publicación:
16/01/2026
Idioma:
Español
Escriba cuál era la condición dentro de las CPUs de AMD que podría permitir a un atacante con privilegios de administrador modificar la configuración del pipeline de la CPU, lo que podría resultar en la corrupción del puntero de pila dentro de un invitado SEV-SNP.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en extensión EasyDiscuss para Joomla de Stackideas (CVE-2026-21625)
Fecha de publicación:
16/01/2026
Idioma:
Español
Cargas proporcionadas por el usuario al componente Easy Discuss para Joomla no se validan correctamente. Las cargas se verifican puramente por extensiones de archivo, no se realizan comprobaciones de tipo MIME.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en extensión EasyDiscuss para Joomla de Stackideas (CVE-2026-21623)
Fecha de publicación:
16/01/2026
Idioma:
Español
Falta de filtrado de entrada conduce a una vulnerabilidad XSS persistente en el manejo de publicaciones del foro del componente Easy Discuss para Joomla.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
30/01/2026

Vulnerabilidad en extensión EasyDiscuss para Joomla de Stackideas (CVE-2026-21624)
Fecha de publicación:
16/01/2026
Idioma:
Español
Falta de filtrado de entrada conduce a una vulnerabilidad XSS persistente en el manejo del texto del avatar del usuario del componente Easy Discuss para Joomla.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
30/01/2026

Vulnerabilidad en SteelSeries Nahimic (CVE-2025-68921)
Fecha de publicación:
16/01/2026
Idioma:
Español
SteelSeries Nahimic 3 1.10.7 permite salto de directorio.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

CVE-2026-0823
Fecha de publicación:
16/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
16/01/2026
Suscribirse a Vulnerabilidades