Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-1894
Fecha de publicación:
04/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was detected in WeKan up to 8.20. This impacts an unknown function of the file models/checklistItems.js of the component REST API. Performing a manipulation of the argument item.cardId/item.checklistId/card.boardId results in improper authorization. Remote exploitation of the attack is possible. Upgrading to version 8.21 will fix this issue. The patch is named 251d49eea94834cf351bb395808f4a56fb4dbb44. Upgrading the affected component is recommended.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en AutoGPT de Significant-Gravitas (CVE-2025-62615)
Fecha de publicación:
04/02/2026
Idioma:
Español
AutoGPT es una plataforma que permite a los usuarios crear, desplegar y gestionar agentes de inteligencia artificial continuos que automatizan flujos de trabajo complejos. Antes de autogpt-platform-beta-v0.6.34, en RSSFeedBlock, la librería de terceros urllib.request.urlopen se utiliza directamente para acceder a la URL, pero la URL de entrada no se filtra, lo que causará una vulnerabilidad SSRF. Este problema ha sido parcheado en autogpt-platform-beta-v0.6.34.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
17/02/2026

Vulnerabilidad en AutoGPT de Significant-Gravitas (CVE-2025-62616)
Fecha de publicación:
04/02/2026
Idioma:
Español
AutoGPT es una plataforma que permite a los usuarios crear, desplegar y gestionar agentes de inteligencia artificial continuos que automatizan flujos de trabajo complejos. Antes de autogpt-platform-beta-v0.6.34, en SendDiscordFileBlock, se utiliza directamente la librería de terceros aiohttp.ClientSession().get para acceder a la URL, pero la URL de entrada no se filtra, lo que causará una vulnerabilidad SSRF. Este problema ha sido parcheado en autogpt-platform-beta-v0.6.34.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
17/02/2026

CVE-2025-22873
Fecha de publicación:
04/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** It was possible to improperly access the parent directory of an os.Root by opening a filename ending in "../". For example, Root.Open("../") would open the parent directory of the Root. This escape only permits opening the parent directory itself, not ancestors of the parent or files contained within the parent.
Gravedad CVSS v3.1: BAJA
Última modificación:
10/02/2026

Vulnerabilidad en iccDEV (CVE-2026-25584)
Fecha de publicación:
04/02/2026
Idioma:
Español
iccDEV proporciona un conjunto de librerías y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color ICC. Antes de la versión 2.3.1.3, existe una vulnerabilidad de desbordamiento de búfer de pila (stack-buffer-overflow) en CIccTagFloatNum<>::GetValues(). Esto se activa al procesar un perfil ICC malformado. La vulnerabilidad permite una escritura fuera de límites en la pila, lo que podría conducir a corrupción de memoria, revelación de información o ejecución de código al procesar archivos ICC especialmente diseñados. Este problema ha sido parcheado en la versión 2.3.1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en iccDEV (CVE-2026-25583)
Fecha de publicación:
04/02/2026
Idioma:
Español
iccDEV proporciona un conjunto de librerías y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color ICC. Antes de la versión 2.3.1.3, existe una vulnerabilidad de desbordamiento de búfer de montón en CIccFileIO::Read8() al procesar archivos de perfil ICC malformados mediante una operación fread sin verificar. Este problema ha sido parcheado en la versión 2.3.1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en iccDEV (CVE-2026-25582)
Fecha de publicación:
04/02/2026
Idioma:
Español
iccDEV proporciona un conjunto de librerías y herramientas que permiten la interacción, manipulación y aplicación de perfiles de gestión de color ICC. Antes de la versión 2.3.1.3, existe una vulnerabilidad de desbordamiento de búfer de montón (lectura) en CIccIO::WriteUInt16Float() al convertir XML malformado a perfiles ICC a través de la herramienta iccFromXml. Este problema ha sido parcheado en la versión 2.3.1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en navidrome (CVE-2026-25579)
Fecha de publicación:
04/02/2026
Idioma:
Español
Navidrome es un servidor y streamer de colección de música basado en web de código abierto. Antes de la versión 0.60.0, los usuarios autenticados pueden bloquear el servidor de Navidrome al proporcionar un parámetro de tamaño excesivamente grande a /rest/getCoverArt o a una URL de imagen compartida (/share/img/). Al procesar dichas solicitudes, el servidor intenta crear una imagen redimensionada extremadamente grande, lo que provoca un crecimiento descontrolado de la memoria. Esto activa el OOM killer de Linux, termina el proceso de Navidrome y resulta en una interrupción completa del servicio. Si el sistema tiene suficiente memoria y sobrevive a la asignación, Navidrome escribe estas imágenes redimensionadas extremadamente grandes en su directorio de caché, permitiendo que un atacante agote rápidamente el espacio en disco del servidor también. Este problema ha sido parcheado en la versión 0.60.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
18/02/2026

Vulnerabilidad en Navidrome (CVE-2026-25578)
Fecha de publicación:
04/02/2026
Idioma:
Español
Navidrome es un servidor y streamer de colección de música basado en web de código abierto. Antes de la versión 0.60.0, una vulnerabilidad de cross-site scripting en el frontend permite a un atacante malicioso inyectar código a través de los metadatos de comentarios de una canción para exfiltrar credenciales de usuario. Este problema ha sido parcheado en la versión 0.60.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2026

Vulnerabilidad en Bytes (CVE-2026-25541)
Fecha de publicación:
04/02/2026
Idioma:
Español
Bytes es una librería de utilidad para trabajar con bytes. Desde la versión 1.2.1 hasta antes de la 1.11.1, Bytes es vulnerable a desbordamiento de entero en BytesMut::reserve. En la ruta de recuperación única de BytesMut::reserve, si la condición 'v_capacity >= new_cap + offset' utiliza una adición sin verificar. Cuando new_cap + offset desborda usize en compilaciones de lanzamiento, esta condición puede pasar incorrectamente, haciendo que self.cap se establezca en un valor que excede la capacidad asignada real. Las API posteriores, como spare_capacity_mut(), confían entonces en este valor de cap corrupto y pueden crear segmentos fuera de límites, lo que lleva a UB. Este comportamiento es observable en compilaciones de lanzamiento (el desbordamiento de entero se ajusta), mientras que las compilaciones de depuración entran en pánico debido a las comprobaciones de desbordamiento. Este problema ha sido parcheado en la versión 1.11.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en SiYuan de Siyuan-note (CVE-2026-25539)
Fecha de publicación:
04/02/2026
Idioma:
Español
SiYuan es un sistema de gestión de conocimiento personal. Antes de la versión 3.5.5, el endpoint /api/file/copyFile no valida el parámetro dest, permitiendo a usuarios autenticados escribir archivos en ubicaciones arbitrarias en el sistema de archivos. Esto puede llevar a la Ejecución Remota de Código (RCE) al escribir en ubicaciones sensibles como trabajos cron, SSH authorized_keys o archivos de configuración de shell. Este problema ha sido parcheado en la versión 3.5.5.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2026

Vulnerabilidad en HtmlSanitizer de mganss (CVE-2026-25543)
Fecha de publicación:
04/02/2026
Idioma:
Español
HtmlSanitizer es una librería.NET para limpiar fragmentos y documentos HTML de construcciones que pueden llevar a ataques XSS. Antes de las versiones 9.0.892 y 9.1.893-beta, si la etiqueta template está permitida, su contenido no se sanitiza. La etiqueta template es una etiqueta especial que normalmente no renderiza su contenido, a menos que el atributo shadowrootmode esté configurado como open o closed. Este problema ha sido parcheado en las versiones 9.0.892 y 9.1.893-beta.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/02/2026
Suscribirse a Vulnerabilidades