Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Society Management System (CVE-2026-2116)
Fecha de publicación:
08/02/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en itsourcecode Society Management System 1.0. Afectada es una función desconocida del archivo /admin/edit_expenses.PHP. Dicha manipulación del argumento expenses_id conduce a inyección SQL. Es posible lanzar el ataque remotamente. El exploit ha sido revelado al público y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Society Management System (CVE-2026-2117)
Fecha de publicación:
08/02/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en itsourcecode Society Management System 1.0. El elemento afectado es una función desconocida del archivo /admin/edit_activity.php. Realizar una manipulación del argumento activity_id resulta en inyección SQL. El ataque puede ser iniciado remotamente. El exploit ha sido hecho público y podría ser usado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Society Management System (CVE-2026-2115)
Fecha de publicación:
07/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en itsourcecode Society Management System 1.0. Este problema afecta a algún procesamiento desconocido del archivo /admin/delete_expenses.PHP. Esta manipulación del argumento expenses_id causa inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido publicado y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Society Management System (CVE-2026-2114)
Fecha de publicación:
07/02/2026
Idioma:
Español
Una vulnerabilidad fue detectada en itsourcecode Society Management System 1.0. Esta vulnerabilidad afecta código desconocido del archivo /admin/edit_admin.PHP. La manipulación del argumento admin_id resulta en inyección SQL. El ataque puede ser realizado desde remoto. El exploit es ahora público y puede ser usado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en WeKan (CVE-2026-25565)
Fecha de publicación:
07/02/2026
Idioma:
Español
Las versiones de WeKan anteriores a la 8.19 contienen una vulnerabilidad de autorización donde ciertas rutas de la API de actualización de tarjetas validan solo el acceso de lectura al tablero en lugar de requerir permiso de escritura. Esto puede permitir a usuarios con roles de solo lectura realizar actualizaciones de tarjetas que deberían requerir acceso de escritura.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en WeKan (CVE-2026-25567)
Fecha de publicación:
07/02/2026
Idioma:
Español
Las versiones de WeKan anteriores a la 8.19 contienen una referencia directa insegura a objetos (IDOR) en la API de creación de comentarios de tarjetas. El endpoint acepta un authorId del cuerpo de la solicitud, permitiendo a un usuario autenticado suplantar al autor del comentario registrado al proporcionar el identificador de otro usuario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en WeKan (CVE-2026-25568)
Fecha de publicación:
07/02/2026
Idioma:
Español
Las versiones de WeKan anteriores a la 8.19 contienen una vulnerabilidad de lógica de autorización donde la configuración de instancia allowPrivateOnly no se aplica suficientemente en el momento de la creación del tablero. Cuando allowPrivateOnly está habilitado, los usuarios aún pueden crear tableros públicos debido a una aplicación incompleta por parte del servidor.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en mall de macrozheng (CVE-2026-25858)
Fecha de publicación:
07/02/2026
Idioma:
Español
macrozheng mall versión 1.0.3 y anteriores contiene una vulnerabilidad de autenticación en el flujo de trabajo de restablecimiento de contraseña de mall-portal que permite a un atacante no autenticado restablecer contraseñas de cuentas de usuario arbitrarias utilizando solo el número de teléfono de una víctima. El flujo de restablecimiento de contraseña expone la contraseña de un solo uso (OTP) directamente en la respuesta de la API y valida las solicitudes de restablecimiento de contraseña únicamente comparando la OTP proporcionada con un valor almacenado por número de teléfono, sin verificar la identidad del usuario o la propiedad del número de teléfono. Esto permite la toma de control remota de la cuenta de cualquier usuario con un número de teléfono conocido o predecible.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
09/02/2026

Vulnerabilidad en WeKan (CVE-2026-25859)
Fecha de publicación:
07/02/2026
Idioma:
Español
Versiones de Wekan anteriores a la 8.20 permiten a usuarios no administrativos acceder a la funcionalidad de migración debido a comprobaciones de permisos insuficientes, resultando potencialmente en operaciones de migración no autorizadas.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en WeKan (CVE-2026-25566)
Fecha de publicación:
07/02/2026
Idioma:
Español
Las versiones de WeKan anteriores a la 8.19 contienen una vulnerabilidad de autorización en la lógica de movimiento de tarjetas. Un usuario puede especificar un tablero/lista/carril de destino sin comprobaciones de autorización adecuadas para el destino y sin validar que los objetos de destino pertenezcan al tablero de destino, lo que podría permitir movimientos no autorizados entre tableros.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Tenda G300-F de Shenzhen Tenda Technology (CVE-2026-25857)
Fecha de publicación:
07/02/2026
Idioma:
Español
El firmware del router Tenda G300-F, versión 16.01.14.2 y anteriores, contiene una vulnerabilidad de inyección de comandos del sistema operativo en la funcionalidad de diagnóstico WAN (formSetWanDiag). La implementación construye un comando de shell que invoca curl e incorpora entrada controlada por el atacante en la línea de comandos sin una neutralización adecuada. Como resultado, un atacante remoto con acceso a la interfaz de gestión afectada puede inyectar sintaxis de shell adicional y ejecutar comandos arbitrarios en el dispositivo con los privilegios del proceso de gestión.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en WeKan (CVE-2026-25560)
Fecha de publicación:
07/02/2026
Idioma:
Español
Versiones de WeKan anteriores a la 8.19 contienen una vulnerabilidad de inyección de filtro LDAP en la autenticación LDAP. La entrada de nombre de usuario proporcionada por el usuario se incorpora en los filtros de búsqueda LDAP y en los valores relacionados con DN sin un escape adecuado, permitiendo a un atacante manipular las consultas LDAP durante la autenticación.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/02/2026
Suscribirse a Vulnerabilidades