Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WeKan (CVE-2026-1892)
Fecha de publicación:
04/02/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en WeKan hasta la versión 8.20. Esto afecta la función setBoardOrgs del archivo models/boards.js del componente REST API. Dicha manipulación del argumento item.cardId/item.checklistId/card.boardId conduce a una autorización indebida. El ataque puede ser lanzado remotamente. Un alto nivel de complejidad está asociado con este ataque. La explotabilidad se reporta como difícil. La actualización a la versión 8.21 mitiga este problema. El nombre del parche es cabfeed9a68e21c469bf206d8655941444b9912c. Se sugiere actualizar el componente afectado.
Gravedad CVSS v4.0: BAJA
Última modificación:
10/02/2026

Vulnerabilidad en cert-manager (CVE-2026-25518)
Fecha de publicación:
04/02/2026
Idioma:
Español
cert-manager añade certificados y emisores de certificados como tipos de recursos en clústeres de Kubernetes, y simplifica el proceso de obtención, renovación y uso de esos certificados. En las versiones desde la 1.18.0 hasta antes de la 1.18.5 y desde la 1.19.0 hasta antes de la 1.19.3, el cert-manager-controller realiza búsquedas DNS durante el procesamiento ACME DNS-01 (para el descubrimiento de zonas y las autocomprobaciones de propagación). Por defecto, estas búsquedas utilizan DNS estándar sin cifrar. Un atacante que puede interceptar y modificar el tráfico DNS desde el pod del cert-manager-controller puede insertar una entrada manipulada en la caché DNS de cert-manager. Acceder a esta entrada provocará un pánico, lo que resultará en una denegación de servicio (DoS) del controlador de cert-manager. El problema también puede ser explotado si el servidor DNS autoritativo para el dominio que se está validando es controlado por un actor malicioso. Este problema ha sido parcheado en las versiones 1.18.5 y 1.19.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en ZenTao (CVE-2026-1884)
Fecha de publicación:
04/02/2026
Idioma:
Español
Se ha identificado una debilidad en ZenTao hasta la versión 21.7.6-85642. El elemento afectado es la función fetchHook del archivo module/webhook/model.PHP del componente Módulo Webhook. Esta manipulación causa falsificación de petición del lado del servidor. El ataque puede ser iniciado remotamente. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques. Se contactó al proveedor con antelación sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en Concert de IBM (CVE-2024-43181)
Fecha de publicación:
04/02/2026
Idioma:
Español
IBM Concert 1.0.0 hasta 2.1.0 no invalida la sesión después de cerrar sesión, lo que podría permitir a un usuario autenticado suplantar a otro usuario en el sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en IBM Operations Analytics (CVE-2024-40685)
Fecha de publicación:
04/02/2026
Idioma:
Español
IBM Operations Analytics – Log Analysis versiones 1.3.5.0 hasta 1.3.8.3 y IBM SmartCloud Analytics – Log Analysis son vulnerables a una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) que podría permitir a un atacante engañar a un usuario de confianza para que realice acciones no autorizadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en Concert de IBM (CVE-2024-51451)
Fecha de publicación:
04/02/2026
Idioma:
Español
IBM Concert 1.0.0 hasta 2.1.0 es vulnerable a la inyección de encabezados HTTP, causada por una validación incorrecta de la entrada por parte de los encabezados HOST. Esto podría permitir a un atacante realizar varios ataques contra el sistema vulnerable, incluyendo cross-site scripting, envenenamiento de caché o secuestro de sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en Group-Office (CVE-2026-25511)
Fecha de publicación:
04/02/2026
Idioma:
Español
Group-Office es una herramienta de gestión de relaciones con clientes empresariales y de groupware. Antes de las versiones 6.8.150, 25.0.82 y 26.0.5, un usuario autenticado dentro del grupo de Administradores del Sistema puede desencadenar un SSRF completo a través de la URL de descubrimiento de servicio WOPI, incluyendo acceso a hosts/puertos internos. El cuerpo de la respuesta SSRF puede ser exfiltrado a través del sistema de depuración incorporado, convirtiéndolo en un SSRF visible. Esto también permite la lectura completa de archivos del lado del servidor. Este problema ha sido parcheado en las versiones 6.8.150, 25.0.82 y 26.0.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/02/2026

Vulnerabilidad en Group-Office (CVE-2026-25512)
Fecha de publicación:
04/02/2026
Idioma:
Español
Group-Office es una herramienta empresarial de gestión de relaciones con clientes y groupware. Antes de las versiones 6.8.150, 25.0.82 y 26.0.5, existe una vulnerabilidad de ejecución remota de código (RCE) en Group-Office. El endpoint email/message/tnefAttachmentFromTempFile concatena directamente el parámetro tmp_file, controlado por el usuario, en una llamada a exec(). Al inyectar metacaracteres de shell en tmp_file, un atacante autenticado puede ejecutar comandos de sistema arbitrarios en el servidor. Este problema ha sido parcheado en las versiones 6.8.150, 25.0.82 y 26.0.5.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
11/02/2026

Vulnerabilidad en OpenSlides (CVE-2026-25519)
Fecha de publicación:
04/02/2026
Idioma:
Español
OpenSlides es un sistema de presentación y asamblea gratuito, basado en web, para gestionar y proyectar la agenda, las mociones y las elecciones de una asamblea. Antes de la versión 4.2.29, OpenSlides soporta inicios de sesión locales con nombre de usuario y contraseña o un inicio de sesión único (single sign-on) opcionalmente configurable con SAML a través de un IDP externo. Para los usuarios sincronizados con OpenSlides a través de un IDP externo, existe un control de acceso incorrecto con respecto al inicio de sesión local de estos usuarios. Los usuarios pueden iniciar sesión exitosamente utilizando el formulario de inicio de sesión local y el nombre de usuario de OpenSlides de un usuario SAML y una contraseña trivial. Esta contraseña es válida para todos los usuarios SAML. Este problema ha sido parcheado en la versión 4.2.29.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Wagtail (CVE-2026-25517)
Fecha de publicación:
04/02/2026
Idioma:
Español
Wagtail es un sistema de gestión de contenido de código abierto construido sobre Django. Antes de las versiones 6.3.6, 7.0.4, 7.1.3, 7.2.2 y 7.3, debido a una verificación de permisos faltante en los puntos finales de vista previa, un usuario con acceso al administrador de Wagtail y conocimiento de los campos de un modelo puede elaborar un envío de formulario para obtener una representación de vista previa de cualquier página, fragmento u objeto de configuración del sitio para los cuales las vistas previas están habilitadas, que consiste en cualquier dato elegido por el usuario. Los datos existentes del objeto en sí no se exponen, pero dependiendo de la naturaleza de la plantilla que se está renderizando, esto puede exponer otros contenidos de la base de datos que de otro modo solo serían accesibles para usuarios con acceso de edición sobre el modelo. La vulnerabilidad no es explotable por un visitante de sitio ordinario sin acceso al administrador de Wagtail. Este problema ha sido parcheado en las versiones 6.3.6, 7.0.4, 7.1.3, 7.2.2 y 7.3.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en Terraform / OpenTofu (CVE-2026-25499)
Fecha de publicación:
04/02/2026
Idioma:
Español
El Proveedor de Terraform / OpenTofu añade soporte para Proxmox Virtual Environment. Antes de la versión 0.93.1, en la documentación de configuración SSH, la línea sudoer sugerida es insegura y puede resultar en escapar de la carpeta usando ../, permitiendo que cualquier archivo en el sistema sea editado. Este problema ha sido parcheado en la versión 0.93.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/02/2026

Vulnerabilidad en Drupal (CVE-2026-0947)
Fecha de publicación:
04/02/2026
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('cross-site scripting') en Drupal AT Internet Piano Analytics permite cross-site scripting (XSS). Este problema afecta a AT Internet Piano Analytics: desde 0.0.0 anterior a 1.0.1, desde 2.0.0 anterior a 2.3.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2026
Suscribirse a Vulnerabilidades