Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en iccDEV de InternationalColorConsortium (CVE-2026-21687)
Fecha de publicación:
07/01/2026
Idioma:
Español
iccDEV proporciona un conjunto de bibliotecas y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color del Consorcio Internacional del Color (ICC). Las versiones anteriores a la 2.3.1.2 tienen comportamiento indefinido en 'CIccTagCurve::CIccTagCurve()'. Esta vulnerabilidad afecta a los usuarios de la biblioteca iccDEV que procesan perfiles de color ICC. La versión 2.3.1.2 contiene un parche. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2026

CVE-2025-69263
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** pnpm is a package manager. Versions 10.26.2 and below store HTTP tarball dependencies (and git-hosted tarballs) in the lockfile without integrity hashes. This allows the remote server to serve different content on each install, even when a lockfile is committed. An attacker who publishes a package with an HTTP tarball dependency can serve different code to different users or CI/CD environments. The attack requires the victim to install a package that has an HTTP/git tarball in its dependency tree. The victim's lockfile provides no protection. This issue is fixed in version 10.26.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2026

CVE-2025-69264
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** pnpm is a package manager. Versions 10.0.0 through 10.25 allow git-hosted dependencies to execute arbitrary code during pnpm install, circumventing the v10 security feature "Dependency lifecycle scripts execution disabled by default". While pnpm v10 blocks postinstall scripts via the onlyBuiltDependencies mechanism, git dependencies can still execute prepare, prepublish, and prepack scripts during the fetch phase, enabling remote code execution without user consent or approval. This issue is fixed in version 10.26.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2026

CVE-2025-69222
Fecha de publicación:
07/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** LibreChat is a ChatGPT clone with additional features. Version 0.8.1-rc2 is prone to a server-side request forgery (SSRF)<br /> vulnerability due to missing restrictions of the Actions feature in the default configuration. LibreChat enables users to configure agents with predefined instructions and actions that can interact with remote services via OpenAPI specifications, supporting various HTTP methods, parameters, and authentication methods including custom headers. By default, there are no restrictions on accessible services, which means agents can also access internal components like the RAG API included in the default Docker Compose setup. This issue is fixed in version 0.8.1-rc2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/01/2026

Vulnerabilidad en WebConsole de Commvault (CVE-2025-12776)
Fecha de publicación:
07/01/2026
Idioma:
Español
El componente Report Builder de la aplicación almacena la entrada del usuario directamente en una página web y la muestra a otros usuarios, lo que generó preocupaciones sobre un posible ataque de cross-site scripting (XSS). La gestión adecuada de esta funcionalidad ayuda a garantizar una experiencia de usuario segura y sin interrupciones. Aunque la entrada del usuario no se valida en la creación del informe, estos scripts no se ejecutan cuando el informe es ejecutado por los usuarios finales. El script se ejecuta cuando el informe es modificado a través del report builder por un usuario con permisos de edición.<br /> <br /> El Report Builder es parte de la WebConsole. El paquete WebConsole se encuentra actualmente en fin de vida útil y ya no recibe mantenimiento. Desaconsejamos encarecidamente instalarlo o usarlo en cualquier entorno de producción. Sin embargo, si elige instalarlo, por ejemplo, para acceder a funcionalidades como el Report Builder, debe implementarse dentro de una red completamente aislada que no tenga acceso a datos sensibles ni a conectividad a internet. Esta es una precaución de seguridad crítica, ya que el paquete retirado puede contener vulnerabilidades sin parchear y ya no recibe soporte con actualizaciones o correcciones.
Gravedad CVSS v4.0: BAJA
Última modificación:
02/02/2026

Vulnerabilidad en libtasn1 de GnuTLS (CVE-2025-13151)
Fecha de publicación:
07/01/2026
Idioma:
Español
Desbordamiento de búfer basado en pila en libtasn1 versión: v4.20.0. La función no valida el tamaño de los datos de entrada, lo que resulta en un desbordamiento de búfer en asn1_expend_octet_string.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en Panda3D (CVE-2026-22189)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de Panda3D hasta la 1.10.16 inclusive, egg-mkfont contiene una vulnerabilidad de desbordamiento de búfer basado en pila debido al uso de una llamada sprintf() sin límites con entrada controlada por el atacante. Al construir nombres de archivo de glifos, egg-mkfont formatea un patrón de glifo proporcionado por el usuario (-gp) en un búfer de pila de tamaño fijo sin validación de longitud. Suministrar una cadena de patrón de glifo excesivamente larga puede desbordar el búfer de pila, lo que resulta en corrupción de memoria y un fallo determinista. Dependiendo de la configuración de compilación y el entorno de ejecución, el desbordamiento también puede ser explotable para ejecución de código arbitrario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en Panda3D (CVE-2026-22190)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de Panda3D hasta la 1.10.16 inclusive egg-mkfont contienen una vulnerabilidad de cadena de formato incontrolada. La opción de línea de comandos -gp (patrón de glifo) se utiliza directamente como la cadena de formato para sprintf() con un único argumento proporcionado. Si un atacante proporciona especificadores de formato adicionales, egg-mkfont puede leer valores de pila no intencionados y escribir la salida formateada en archivos .egg y .png generados, lo que resulta en la divulgación de memoria residente en la pila y valores de puntero.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en Bio-Formats de Open Microscopy Environment (CVE-2026-22186)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de Bio-Formats hasta la 8.3.0 inclusive contienen una vulnerabilidad de entidad externa XML (XXE) en el componente de análisis de metadatos de Leica Microsystems (p. ej., XLEF). El analizador utiliza una DocumentBuilderFactory configurada de forma insegura al procesar archivos de metadatos de Leica basados en XML, lo que permite la expansión de entidades externas y la carga de DTD externas. Un archivo de metadatos manipulado puede desencadenar solicitudes de red salientes (SSRF), acceder a recursos del sistema local donde sean legibles o causar una denegación de servicio durante el análisis XML.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en Bio-Formats de Open Microscopy Environment (CVE-2026-22187)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de Bio-Formats hasta la 8.3.0 inclusive realizan una deserialización Java insegura de archivos de caché de memorización (.bfmemo) controlados por el atacante durante el procesamiento de imágenes. La clase loci.formats.Memoizer carga y deserializa automáticamente archivos memo asociados con imágenes sin validación, comprobaciones de integridad o aplicación de confianza. Un atacante que pueda proporcionar un archivo .bfmemo manipulado junto con una imagen puede desencadenar la deserialización de datos no confiables, lo que puede resultar en denegación de servicio, manipulación lógica o, potencialmente, ejecución remota de código en entornos donde existan cadenas de gadgets adecuadas en el classpath.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Panda3D (CVE-2026-22188)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de Panda3D hasta la 1.10.16 inclusive deploy-stub contienen una vulnerabilidad de denegación de servicio debido a una asignación de pila ilimitada. El ejecutable deploy-stub asigna argv_copy y argv_copy2 utilizando alloca() basándose directamente en el valor argc controlado por el atacante sin validación. Suministrar un gran número de argumentos de línea de comandos puede agotar el espacio de la pila y propagar memoria de pila no inicializada a la inicialización del intérprete de Python, lo que resulta en un fallo fiable y comportamiento indefinido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en zlib de zlib software (CVE-2026-22184)
Fecha de publicación:
07/01/2026
Idioma:
Español
Las versiones de zlib hasta la 1.3.1.2 inclusive incluyen un desbordamiento de búfer global en la utilidad untgz ubicada en contrib/untgz. La vulnerabilidad se limita a la utilidad de demostración independiente y no afecta a la biblioteca de compresión central de zlib. El fallo ocurre cuando un usuario ejecuta el comando untgz con un nombre de archivo excesivamente largo suministrado a través de la línea de comandos, lo que lleva a una escritura fuera de límites en un búfer global de tamaño fijo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/03/2026
Suscribirse a Vulnerabilidades