Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Paessler PRTG Network Monitor (CVE-2025-67835)
Fecha de publicación:
14/01/2026
Idioma:
Español
Paessler PRTG Network Monitor anterior a 25.4.114 permite la Denegación de Servicio (DoS) por un atacante autenticado a través de la funcionalidad de Contactos de Notificación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en weblate de WeblateOrg (CVE-2026-21889)
Fecha de publicación:
14/01/2026
Idioma:
Español
Weblate es una herramienta de localización basada en web. Antes de la versión 5.15.2, las imágenes de las capturas de pantalla eran servidas directamente por el servidor HTTP sin un control de acceso adecuado. Esto podría permitir a un usuario no autenticado acceder a las capturas de pantalla después de adivinar su nombre de archivo. Esta vulnerabilidad está corregida en la versión 5.15.2.
Gravedad CVSS v4.0: BAJA
Última modificación:
23/01/2026

Vulnerabilidad en Blurams Flare Camera (CVE-2025-65396)
Fecha de publicación:
14/01/2026
Idioma:
Español
Una vulnerabilidad en el proceso de arranque de la cámara Blurams Flare versión 24.1114.151.929 y anteriores permite a un atacante con proximidad física secuestrar el mecanismo de arranque y obtener un shell del bootloader a través de la interfaz UART. Esto se logra al inducir un error de lectura de la memoria flash SPI durante el arranque, al cortocircuitar un pin de datos del CI a tierra. Un atacante puede entonces volcar el firmware completo, lo que lleva a la divulgación de información sensible, incluyendo claves criptográficas y configuraciones de usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026

Vulnerabilidad en EdgeConnect SD-WAN Orchestrator de Hewlett Packard Enterprise (HPE) (CVE-2025-37182)
Fecha de publicación:
14/01/2026
Idioma:
Español
Vulnerabilidades en la interfaz de gestión basada en web de EdgeConnect SD-WAN Orchestrator podrían permitir a un atacante remoto autenticado realizar ataques de inyección SQL. La explotación exitosa podría permitir a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente, lo que podría llevar a acceso no autorizado a datos o manipulación de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2026

Vulnerabilidad en EdgeConnect SD-WAN Orchestrator de Hewlett Packard Enterprise (HPE) (CVE-2025-37183)
Fecha de publicación:
14/01/2026
Idioma:
Español
Vulnerabilidades en la interfaz de gestión basada en web de EdgeConnect SD-WAN Orchestrator podrían permitir a un atacante remoto autenticado realizar ataques de inyección SQL. La explotación exitosa podría permitir a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente, lo que podría llevar a un acceso no autorizado a datos o a la manipulación de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2026

Vulnerabilidad en EdgeConnect SD-WAN Orchestrator de Hewlett Packard Enterprise (HPE) (CVE-2025-37184)
Fecha de publicación:
14/01/2026
Idioma:
Español
Una vulnerabilidad existe en un servicio de Orchestrator que podría permitir a un atacante remoto no autenticado eludir los requisitos de autenticación multifactor. La explotación exitosa podría permitir a un atacante crear una cuenta de usuario administrador sin la autenticación multifactor necesaria, comprometiendo así la integridad del acceso seguro al sistema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2026

Vulnerabilidad en EdgeConnect SD-WAN Orchestrator de Hewlett Packard Enterprise (HPE) (CVE-2025-37185)
Fecha de publicación:
14/01/2026
Idioma:
Español
Vulnerabilidades en la interfaz de gestión basada en web de EdgeConnect SD-WAN Orchestrator podrían permitir a un atacante remoto autenticado realizar ataques de cross-site scripting (XSS) almacenados contra un usuario administrativo de la interfaz. Un exploit exitoso permite a un atacante ejecutar código de script arbitrario en el navegador de una víctima en el contexto de la interfaz afectada y, por lo tanto, realizar cambios de configuración arbitrarios no autorizados en el host.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en EdgeConnect SD-WAN Orchestrator de Hewlett Packard Enterprise (HPE) (CVE-2025-37181)
Fecha de publicación:
14/01/2026
Idioma:
Español
Vulnerabilidades en la interfaz de gestión basada en web de EdgeConnect SD-WAN Orchestrator podrían permitir a un atacante remoto autenticado realizar ataques de inyección SQL. La explotación exitosa podría permitir a un atacante ejecutar comandos SQL arbitrarios en la base de datos subyacente, lo que podría llevar a un acceso no autorizado a datos o manipulación de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/01/2026

Vulnerabilidad en AIRTH SMART HOME AQI MONITOR Bootloader (CVE-2025-67399)
Fecha de publicación:
14/01/2026
Idioma:
Español
Un problema en el Bootloader v.1.005 de AIRTH SMART HOME AQI MONITOR permite a un atacante físicamente próximo obtener información sensible a través del puerto UART del controlador BK7231N (módulo Wi-Fi y BLE), que en el dispositivo está abierto al acceso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2026

Vulnerabilidad en TinyOS (CVE-2026-22211)
Fecha de publicación:
14/01/2026
Idioma:
Español
Las versiones de TinyOS hasta la 2.1.2 inclusive contienen una vulnerabilidad de desbordamiento de búfer global en la implementación de salida formateada printfUART utilizada dentro de la pila de red ZigBee / IEEE 802.15.4. La implementación formatea la salida en un búfer global de tamaño fijo y concatena cadenas para los especificadores de formato %s usando strcat() sin verificar la capacidad restante del búfer. Cuando se invoca printfUART con una cadena controlada por el llamador más larga que el espacio disponible, la secuencia sprintf/strcat sin límites escribe más allá del final de debugbuf, lo que resulta en corrupción de memoria global. Esto puede causar denegación de servicio, comportamiento no deseado o revelación de información a través de un estado global adyacente corrupto o salida UART.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Red Hat (CVE-2025-14242)
Fecha de publicación:
14/01/2026
Idioma:
Español
Se encontró un fallo en vsftpd. Esta vulnerabilidad permite una denegación de servicio (DoS) a través de un desbordamiento de entero en el análisis de parámetros del comando ls, provocado por un atacante remoto y autenticado al enviar un comando STAT manipulado con una secuencia de bytes específica.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en outray de akinloluwami (CVE-2026-22820)
Fecha de publicación:
14/01/2026
Idioma:
Español
Outray, alternativa de código abierto a ngrok. Antes de la versión 0.1.5, una vulnerabilidad de condición de carrera TOCTOU permite a un usuario exceder el número establecido de túneles activos en su plan de suscripción. Esta vulnerabilidad está corregida en la versión 0.1.5.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/01/2026
Suscribirse a Vulnerabilidades