Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en undici de nodejs (CVE-2026-22036)
Fecha de publicación:
14/01/2026
Idioma:
Español
Undici es un cliente HTTP/1.1 para Node.js. Antes de 7.18.0 y 6.23.0, el número de enlaces en la cadena de descompresión es ilimitado y el maxHeaderSize predeterminado permite a un servidor malicioso insertar miles de pasos de compresión, lo que lleva a un alto uso de CPU y una asignación excesiva de memoria. Esta vulnerabilidad está corregida en 7.18.0 y 6.23.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2026

Vulnerabilidad en Rocket.Chat (CVE-2026-23477)
Fecha de publicación:
14/01/2026
Idioma:
Español
Rocket.Chat es una plataforma de comunicaciones de código abierto, segura y totalmente personalizable. En las versiones de Rocket.Chat hasta la 6.12.0, el endpoint de la API GET /api/v1/oauth-apps.get está expuesto a cualquier usuario autenticado, independientemente de su rol o permisos. Este endpoint devuelve una aplicación OAuth, siempre que el usuario conozca su ID, incluyendo campos potencialmente sensibles como client_id y client_secret. Esta vulnerabilidad está corregida en la 6.12.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2026

Vulnerabilidad en NSIGHT Graphics de NVIDIA (CVE-2025-33206)
Fecha de publicación:
14/01/2026
Idioma:
Español
NVIDIA NSIGHT Graphics para Linux contiene una vulnerabilidad donde un atacante podría causar inyección de comandos. Un exploit exitoso de esta vulnerabilidad podría conducir a la ejecución de código, escalada de privilegios, manipulación de datos y denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en Flag de Drupal (CVE-2025-14556)
Fecha de publicación:
14/01/2026
Idioma:
Español
Neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'cross-site scripting') vulnerabilidad en Drupal Flag permite cross-site scripting (XSS). Este problema afecta a Flag: desde la 7.X-3.0 hasta la 7.X-3.9.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en Facebook Pixel de Drupal (CVE-2025-14557)
Fecha de publicación:
14/01/2026
Idioma:
Español
Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web (XSS o 'cross-site scripting') vulnerabilidad en Drupal Facebook Pixel facebook_pixel permite XSS Almacenado. Este problema afecta a Facebook Pixel: desde la 7.X-1.0 hasta la 7.X-1.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en GitLab (CVE-2025-11224)
Fecha de publicación:
14/01/2026
Idioma:
Español
GitLab ha remediado un problema en GitLab CE/EE que afectaba a todas las versiones desde la 15.10 anterior a la 18.3.6, la 18.4 anterior a la 18.4.4, y la 18.5 anterior a la 18.5.2 que podría haber permitido a un usuario autenticado ejecutar cross-site scripting almacenado mediante una validación de entrada incorrecta en la funcionalidad de proxy de Kubernetes.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en FreeRDP (CVE-2026-22855)
Fecha de publicación:
14/01/2026
Idioma:
Español
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la 3.20.1, ocurre una lectura fuera de límites de la pila en la ruta SetAttrib de la tarjeta inteligente cuando cbAttrLen no coincide con la longitud real del búfer NDR. Esta vulnerabilidad está corregida en la 3.20.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en FreeRDP (CVE-2026-22856)
Fecha de publicación:
14/01/2026
Idioma:
Español
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la versión 3.20.1, una condición de carrera en el seguimiento de hilos IRP del canal serie permite un uso de memoria después de liberación (use-after-free) en el heap cuando un hilo elimina una entrada de serial->IrpThreads mientras otro la lee. Esta vulnerabilidad está corregida en la versión 3.20.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en FreeRDP (CVE-2026-22857)
Fecha de publicación:
14/01/2026
Idioma:
Español
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de 3.20.1, se produce un uso después de liberación en el heap en irp_thread_func porque el IRP es liberado por irp->Complete() y luego se accede a él de nuevo en la ruta de error. Esta vulnerabilidad se corrige en 3.20.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en FreeRDP (CVE-2026-22858)
Fecha de publicación:
14/01/2026
Idioma:
Español
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la versión 3.20.1, se observó un desbordamiento de búfer global en la ruta de decodificación Base64 de FreeRDP. La causa raíz parece ser la signatura de `char` definida por la implementación: en compilaciones Arm/AArch64, `char` simple se trata como sin signo, por lo que la guarda `c <= 0` puede optimizarse en una simple verificación `c != 0`. Como resultado, los bytes no ASCII (por ejemplo, 0x80-0xFF) pueden eludir la restricción de rango prevista y usarse como un índice en una tabla de búsqueda global, causando acceso fuera de límites. Esta vulnerabilidad se corrigió en la versión 3.20.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en FreeRDP (CVE-2026-22859)
Fecha de publicación:
14/01/2026
Idioma:
Español
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la versión 3.20.1, el cliente URBDRC no realiza comprobación de límites en los valores MSUSB_INTERFACE_DESCRIPTOR proporcionados por el servidor y los utiliza como índices en libusb_udev_complete_msconfig_setup, causando una lectura fuera de límites. Esta vulnerabilidad está corregida en la versión 3.20.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en outray de akinloluwami (CVE-2026-22819)
Fecha de publicación:
14/01/2026
Idioma:
Español
Outray, alternativa de código abierto a ngrok. Antes de la versión 0.1.5, esta vulnerabilidad permite a un usuario, es decir, un usuario de plan gratuito, obtener más subdominios de los deseados debido a la falta de mecanismos de bloqueo de transacciones de base de datos en main/apps/web/src/routes/api/$orgSlug/subdomains/index.ts. Esta vulnerabilidad está corregida en la versión 0.1.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026
Suscribirse a Vulnerabilidades