Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Instant Financial Issuance (IF) (CVE-2026-23746)
Fecha de publicación:
15/01/2026
Idioma:
Español
El software Entrust Instant Financial Issuance (IFI) On Premise (anteriormente conocido como CardWizard) versiones 5.x, anteriores a la 6.10.5, y anteriores a la 6.11.1 contienen una exposición insegura de .NET Remoting en el servicio SmartCardController (DCG.SmartCardControllerService.exe). El servicio registra un canal de remoting TCP con un formateador/configuración inseguros que permiten la invocación de objetos de remoting no confiables. Un atacante remoto no autenticado que pueda alcanzar el puerto de remoting puede invocar objetos de remoting expuestos para leer archivos arbitrarios del servidor y forzar la autenticación saliente, y puede lograr la escritura arbitraria de archivos y la ejecución remota de código a través de técnicas conocidas de explotación de .NET Remoting. Esto puede llevar a la divulgación de datos sensibles de instalación y de cuentas de servicio y al compromiso del host afectado.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en easyappointments de alextselegidis (CVE-2026-23622)
Fecha de publicación:
15/01/2026
Idioma:
Español
Easy!Appointments es un programador de citas autoalojado. En 1.5.2 y versiones anteriores, application/core/EA_Security.php::csrf_verify() solo aplica CSRF para solicitudes POST y retorna anticipadamente para métodos que no son POST. Varios puntos finales de la aplicación realizan operaciones que cambian el estado mientras aceptan parámetros de GET (o $_REQUEST), por lo que un atacante puede realizar CSRF forzando al navegador de una víctima a emitir una solicitud GET manipulada. Impacto: creación de cuentas de administrador, modificación de correo electrónico/contraseña de administrador y toma de control total de la cuenta de administrador.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/04/2026

Vulnerabilidad en 5ulfur (CVE-2025-65349)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting almacenado (XSS) en la interfaz de gestión web en el Each Italy Wireless Mini Router WIRELESS-N 300M v28K.MiniRouter.20190211 permite a los atacantes ejecutar scripts arbitrarios a través de una carga útil manipulada debido a un valor SSID de AP repetidor no saneado cuando se muestra en cualquier página en /index.htm.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en Svelte (CVE-2025-15265)
Fecha de publicación:
15/01/2026
Idioma:
Español
Existe una vulnerabilidad de tipo SSR XSS en la hidratación asíncrona cuando se pasan claves controladas por el atacante a `hydratable`. La clave se incrusta dentro de un bloque `` termine el script e inyecte código JavaScript arbitrario. Esto permite la ejecución remota de scripts en los navegadores de los usuarios, con el riesgo de robo de sesión y compromiso de la cuenta. Este problema afecta a Svelte: desde la versión 5.46.0 hasta la 5.46.3.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en nanomq (CVE-2024-48077)
Fecha de publicación:
15/01/2026
Idioma:
Español
Un problema en nanomq v0.22.7 permite a los atacantes causar una denegación de servicio (DoS) a través de una solicitud manipulada. El número de paquetes de datos recibidos en la cola recv-q del proceso Nanomq continúa aumentando, lo que provoca que el broker nanomq caiga en un interbloqueo y no pueda proporcionar servicios normales.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2026

Vulnerabilidad en kit de sveltejs (CVE-2026-22803)
Fecha de publicación:
15/01/2026
Idioma:
Español
SvelteKit es un framework para desarrollar rápidamente aplicaciones web robustas y de alto rendimiento utilizando Svelte. Desde la versión 2.49.0 hasta la 2.49.4, la función remota experimental de formularios utiliza un formato de datos binarios que contiene una representación de los datos de formulario enviados. Una carga útil especialmente diseñada puede hacer que el servidor asigne una gran cantidad de memoria, causando DoS por agotamiento de memoria. Esta vulnerabilidad está corregida en la versión 2.49.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en Palo Alto Networks (CVE-2026-0227)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad en el software PAN-OS de Palo Alto Networks permite a un atacante no autenticado causar una denegación de servicio (DoS) al cortafuegos. Intentos repetidos de activar este problema resultan en que el cortafuegos entre en modo de mantenimiento.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/02/2026

Vulnerabilidad en docmost (CVE-2026-22249)
Fecha de publicación:
15/01/2026
Idioma:
Español
Docmost es un software de wiki colaborativo y documentación de código abierto. Desde la 0.21.0 hasta antes de la 0.24.0, Docmost es vulnerable a la escritura arbitraria de archivos a través de la función de importación de Zip (ZipSlip). En apps/servidor/src/integrations/import/utils/file.utils.ts, no hay validación en el nombre de archivo. Esta vulnerabilidad está corregida en la 0.24.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/01/2026

Vulnerabilidad en devalue de sveltejs (CVE-2026-22774)
Fecha de publicación:
15/01/2026
Idioma:
Español
Svelte devalue es una biblioteca de JavaScript que serializa valores en cadenas cuando JSON.stringify no es suficiente para la tarea. Desde la 5.3.0 hasta la 5.6.1, ciertas entradas pueden hacer que devalue.parse consuma tiempo de CPU y/o memoria excesivos, lo que podría llevar a una denegación de servicio en sistemas que analizan entradas de fuentes no confiables. Esto afecta a las aplicaciones que usan devalue.parse en datos suministrados externamente. La causa raíz es la hidratación de arrays tipados que espera un ArrayBuffer como entrada, pero no verifica la suposición antes de crear el array tipado. Esta vulnerabilidad está corregida en la 5.6.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2026

Vulnerabilidad en devalue de sveltejs (CVE-2026-22775)
Fecha de publicación:
15/01/2026
Idioma:
Español
Svelte devalue es una biblioteca de JavaScript que serializa valores en cadenas cuando JSON.stringify no es suficiente para la tarea. Desde la versión 5.1.0 hasta la 5.6.1, ciertas entradas pueden causar que devalue.parse consuma tiempo de CPU y/o memoria excesivos, lo que podría llevar a una denegación de servicio en sistemas que analizan entradas de fuentes no confiables. Esto afecta a las aplicaciones que utilizan devalue.parse con datos suministrados externamente. La causa raíz es la hidratación de ArrayBuffer que espera cadenas codificadas en base64 como entrada, pero no verifica la suposición antes de decodificar la entrada. Esta vulnerabilidad está corregida en la versión 5.6.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2026

Vulnerabilidad en GPAC (CVE-2025-70302)
Fecha de publicación:
15/01/2026
Idioma:
Español
Un desbordamiento de montículo en la función ghi_dmx_declare_opid_bin() de GPAC v2.4.0 permite a los atacantes causar una denegación de servicio (DoS) mediante una entrada manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en GPAC (CVE-2025-70303)
Fecha de publicación:
15/01/2026
Idioma:
Español
Un desbordamiento de montículo en la función uncv_parse_config() de GPAC v2.4.0 permite a los atacantes causar una denegación de servicio (DoS) mediante un archivo MP4 manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2026
Suscribirse a Vulnerabilidades