Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Nu Html Checker (CVE-2025-15104)
Fecha de publicación:
16/01/2026
Idioma:
Español
Nu Html Checker (validator.nu) contiene un bypass de restricción que permite a atacantes remotos hacer que el servidor realice solicitudes HTTP/HTTPS arbitrarias a recursos internos, incluyendo servicios de localhost. Si bien el validador implementa protecciones basadas en nombre de host para bloquear el acceso directo a localhost y 127.0.0.1, estos controles pueden ser eludidos utilizando técnicas de reasociación de DNS o dominios que se resuelven a direcciones de bucle invertido. Este problema afecta a The Nu Html Checker (vnu): la última versión (commit 23f090a11bab8d0d4e698f1ffc197a4fe226a9cd).
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en PSA de ConnectWise (CVE-2026-0695)
Fecha de publicación:
16/01/2026
Idioma:
Español
En versiones de ConnectWise PSA anteriores a 2026.1, las notas de entrada de tiempo almacenadas en la Pista de Auditoría de Entrada de Tiempo pueden ser renderizadas sin aplicar codificación de salida a cierto contenido. Bajo condiciones específicas, esto puede permitir que código de script almacenado se ejecute en el contexto del navegador de un usuario cuando el contenido afectado se muestra.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2026

Vulnerabilidad en PSA de ConnectWise (CVE-2026-0696)
Fecha de publicación:
16/01/2026
Idioma:
Español
En versiones de ConnectWise PSA anteriores a la 2026.1, ciertas cookies de sesión no se configuraron con el atributo HttpOnly. En algunos escenarios, esto podría permitir que scripts del lado del cliente accedieran a los valores de las cookies de sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/01/2026

Vulnerabilidad en Livewire Filemanager de bee interactive (CVE-2025-14894)
Fecha de publicación:
16/01/2026
Idioma:
Español
Livewire Filemanager, comúnmente utilizado en aplicaciones Laravel, contiene LivewireFilemanagerComponent.php, el cual no realiza validación de tipo de archivo y MIME, lo que permite la RCE mediante la carga de un archivo PHP malicioso que luego puede ser ejecutado a través de la URL /storage/ si se ha completado un proceso de configuración comúnmente realizado dentro de las aplicaciones Laravel.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/01/2026

Vulnerabilidad en TheLibrarian (CVE-2026-0612)
Fecha de publicación:
16/01/2026
Idioma:
Español
El libreríario contiene una vulnerabilidad de fuga de información a través de la herramienta 'web_fetch', que puede ser utilizada para recuperar contenido externo arbitrario proporcionado por un atacante, lo que puede ser utilizado para redirigir solicitudes a través de la infraestructura de El libreríario. El proveedor ha corregido la vulnerabilidad en todas las versiones de TheLibrarian.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en TheLibrarian (CVE-2026-0613)
Fecha de publicación:
16/01/2026
Idioma:
Español
El Librarian contiene una vulnerabilidad interna de escaneo de puertos, facilitada por la herramienta 'web_fetch', que puede ser utilizada con un comportamiento de tipo SSRF para realizar solicitudes GET a direcciones IP y servicios internos, permitiendo el escaneo del entorno de nube de Hertzner que utiliza TheLibrarian. El proveedor ha corregido la vulnerabilidad en todas las versiones afectadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en TheLibrarian (CVE-2026-0615)
Fecha de publicación:
16/01/2026
Idioma:
Español
La página de estado de 'supervisord' de The Librarian puede ser recuperada por la herramienta 'web_fetch', la cual puede ser utilizada para recuperar procesos en ejecución dentro del backend de TheLibrarian. El proveedor ha corregido la vulnerabilidad en todas las versiones afectadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en TheLibrarian (CVE-2026-0616)
Fecha de publicación:
16/01/2026
Idioma:
Español
La herramienta web_fetch de TheLibrarians puede usarse para recuperar el contenido de la interfaz de Adminer, que luego puede usarse para iniciar sesión en el sistema de backend interno de TheLibrarian. El proveedor ha corregido la vulnerabilidad en todas las versiones afectadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en ABB Ability OPTIMAX (CVE-2025-14510)
Fecha de publicación:
16/01/2026
Idioma:
Español
Vulnerabilidad de implementación incorrecta del algoritmo de autenticación en ABB ABB Ability OPTIMAX. Este problema afecta a ABB Ability OPTIMAX: 6.1, 6.2, desde 6.3.0 antes de 6.3.1-251120, desde 6.4.0 antes de 6.4.1-251120.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Mattermost (CVE-2025-14435)
Fecha de publicación:
16/01/2026
Idioma:
Español
Las versiones de Mattermost 10.11.x <= 10.11.8, 11.1.x <= 11.1.1, 11.0.x <= 11.0.6 no impiden las re-renderizaciones infinitas en errores de API, lo que permite a usuarios autenticados causar un DoS a nivel de aplicación mediante el desencadenamiento de bucles de re-renderización de componentes ilimitados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en Apache Airflow (CVE-2025-68438)
Fecha de publicación:
16/01/2026
Idioma:
Español
En versiones de Apache Airflow anteriores a la 3.1.6, cuando los campos de plantilla renderizados en un DAG exceden [core] max_templated_field_length, valores sensibles podrían quedar expuestos en texto claro en la interfaz de usuario de Plantillas Renderizadas. Esto ocurrió porque la serialización de esos campos utilizaba una instancia de enmascarador de secretos que no incluía patrones mask_secret() registrados por el usuario, por lo que los secretos no se enmascaraban de forma fiable antes de la truncación y visualización.<br /> <br /> Se recomienda a los usuarios actualizar a la 3.1.6 o posterior, lo que corrige este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en Apache Airflow (CVE-2025-68675)
Fecha de publicación:
16/01/2026
Idioma:
Español
En versiones de Apache Airflow anteriores a la 3.1.6, los campos proxies y proxy dentro de una Conexión pueden incluir URLs de proxy que contienen información de autenticación incrustada. Estos campos no se trataban como sensibles por defecto y, por lo tanto, no se enmascaraban automáticamente en la salida de los registros. Como resultado, cuando dichas conexiones se renderizan o se imprimen en los registros, las credenciales de proxy incrustadas en estos campos podrían quedar expuestas.<br /> <br /> Se recomienda a los usuarios actualizar a la versión 3.1.6 o posterior, lo que soluciona este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2026
Suscribirse a Vulnerabilidades