Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en FreeRDP (CVE-2026-22854)
Fecha de publicación:
14/01/2026
Idioma:
Español
FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la versión 3.20.1, ocurre un desbordamiento de búfer de pila en la lectura de unidad cuando se utiliza una longitud de lectura controlada por el servidor para leer datos de archivo en un búfer de flujo de salida IRP sin un límite superior estricto, permitiendo que una lectura de tamaño excesivo sobrescriba la memoria de la pila. Esta vulnerabilidad está corregida en la versión 3.20.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en pH7So (CVE-2025-63644)
Fecha de publicación:
14/01/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) almacenada existe en pH7Software pH7-Social-Dating-CMS 17.9.1 en el campo Descripción del perfil de usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en Blurams Flare Camera (CVE-2025-65397)
Fecha de publicación:
14/01/2026
Idioma:
Español
Un mecanismo de autenticación inseguro en el script de inicio safe_exec.sh de la cámara Blurams Flare versión 24.1114.151.929 y anteriores permite a un atacante con acceso físico al dispositivo ejecutar comandos arbitrarios con privilegios de root, si el archivo /opt/images/public_key.der no está presente en el sistema de archivos. La vulnerabilidad puede ser activada al proporcionar un archivo auth.ini maliciosamente diseñado en la tarjeta SD del dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026

Vulnerabilidad en Tenda AX-1806 (CVE-2025-71021)
Fecha de publicación:
14/01/2026
Idioma:
Español
Tenda AX-1806 v1.0.0.1 se descubrió que contenía un desbordamiento de pila en el parámetro serverName de la función sub_65A28. Esta vulnerabilidad permite a los atacantes causar una Denegación de Servicio (DoS) mediante una solicitud manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2026

Vulnerabilidad en Tenda AX-1806 (CVE-2025-70747)
Fecha de publicación:
14/01/2026
Idioma:
Español
Tenda AX-1806 v1.0.0.1 se descubrió que contenía un desbordamiento de pila en el parámetro serviceName de la función sub_65A28. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante una solicitud manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2026

Vulnerabilidad en BlackSheep de Neoteroi (CVE-2026-22779)
Fecha de publicación:
14/01/2026
Idioma:
Español
BlackSheep es un framework web asíncrono para construir aplicaciones web basadas en eventos con Python. Antes de la versión 2.4.6, la implementación del Cliente HTTP en BlackSheep es vulnerable a la inyección CRLF. La falta de validación de encabezados hace posible que un atacante modifique las solicitudes HTTP (p. ej., insertar un nuevo encabezado) o incluso cree una nueva solicitud HTTP. La explotación requiere que los desarrolladores pasen la entrada de usuario no saneada directamente a los encabezados. La parte del servidor no se ve afectada porque BlackSheep delega a un servidor ASGI subyacente el manejo de los encabezados de respuesta. Esta vulnerabilidad se corrige en la versión 2.4.6.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/01/2026

Vulnerabilidad en html2pdf.js de eKoopmans (CVE-2026-22787)
Fecha de publicación:
14/01/2026
Idioma:
Español
html2pdf.js convierte cualquier página web o elemento en un PDF imprimible completamente del lado del cliente. Antes de 0.14.0, html2pdf.js contiene una vulnerabilidad de cross-site scripting (XSS) cuando se le proporciona una fuente de texto en lugar de un elemento. Este texto no se sanea suficientemente antes de ser adjuntado al DOM, permitiendo que se ejecuten scripts maliciosos en el navegador del cliente y poniendo en riesgo la confidencialidad, integridad y disponibilidad de los datos de la página. Esta vulnerabilidad ha sido corregida en html2pdf.js@0.14.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en aliasvault (CVE-2026-22694)
Fecha de publicación:
14/01/2026
Idioma:
Español
AliasVault es un gestor de contraseñas centrado en la privacidad con alias de correo electrónico integrado. Las versiones de AliasVault para Android de la 0.24.0 a la 0.25.2 contenían un problema en cómo se validaban las solicitudes de claves de acceso de las aplicaciones de Android. Bajo ciertas condiciones locales, una aplicación maliciosa podría intentar obtener una respuesta de clave de acceso para un sitio al que no estaba autorizada a acceder. El problema implicaba una validación incompleta de la identidad de la aplicación llamante, el origen y el ID de RP en el proveedor de credenciales de Android. Este problema se solucionó en AliasVault Android 0.25.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en cursor (CVE-2026-22708)
Fecha de publicación:
14/01/2026
Idioma:
Español
Cursor es un editor de código diseñado para programar con IA. Antes de la 2.3, cuando el Agente de Cursor se ejecuta en Modo de Ejecución Automática con el modo de lista de permitidos habilitado, ciertos comandos internos de shell aún pueden ejecutarse sin aparecer en la lista de permitidos y sin requerir la aprobación del usuario. Esto permite a un atacante, mediante inyección de prompt indirecta o directa, envenenar el entorno de shell estableciendo, modificando o eliminando variables de entorno que influyen en comandos de confianza. Esta vulnerabilidad se ha corregido en la versión 2.3.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

Vulnerabilidad en FreeImage (CVE-2025-70968)
Fecha de publicación:
14/01/2026
Idioma:
Español
FreeImage 3.18.0 contiene un Uso Después de Liberar en PluginTARGA.cpp;loadRLE().
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/01/2026

Vulnerabilidad en Paessler PRTG Network Monitor (CVE-2025-67833)
Fecha de publicación:
14/01/2026
Idioma:
Español
Paessler PRTG Network Monitor anterior a la versión 25.4.114 permite XSS por un atacante no autenticado a través del parámetro tag.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en Paessler PRTG Network Monitor (CVE-2025-67834)
Fecha de publicación:
14/01/2026
Idioma:
Español
Paessler PRTG Network Monitor antes de 25.4.114 permite XSS por un atacante no autenticado a través del parámetro filter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026
Suscribirse a Vulnerabilidades