Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ESF-IDF de Espressif (CVE-2026-25532)
Fecha de publicación:
04/02/2026
Idioma:
Español
ESF-IDF es el Framework de Desarrollo de Internet de las Cosas (IoT) de Espressif. En las versiones 5.5.2, 5.4.3, 5.3.4, 5.2.6 y 5.1.6, existe una vulnerabilidad en la implementación de Enrollee de WPS (Wi-Fi Protected Setup) donde paquetes EAP-WSC malformados con cargas útiles truncadas pueden causar un desbordamiento negativo de enteros (integer underflow) durante el cálculo de la longitud del fragmento. Al procesar mensajes EAP-Expanded (WSC), el código calcula frag_len restando los tamaños de las cabeceras de la longitud total del paquete. Si un atacante envía un paquete donde el campo EAP Length cubre solo la cabecera y las banderas (flags) pero omite la carga útil esperada (como el campo Message Length de 2 bytes cuando WPS_MSG_FLAG_LEN está configurado), frag_len se vuelve negativo. Este valor negativo se convierte implícitamente a size_t cuando se pasa a wpabuf_put_data(), lo que resulta en un valor sin signo muy grande. Este problema ha sido parcheado en las versiones 5.5.3, 5.4.4, 5.3.5, 5.2.7 y 5.1.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026

Vulnerabilidad en GLPI (CVE-2026-22044)
Fecha de publicación:
04/02/2026
Idioma:
Español
GLPI es un paquete de software gratuito de gestión de activos y TI. Desde la versión 0.85 hasta antes de la 10.0.23, un usuario autenticado puede realizar una inyección SQL. Este problema ha sido parcheado en la versión 10.0.23.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2026

Vulnerabilidad en GLPI (CVE-2026-22247)
Fecha de publicación:
04/02/2026
Idioma:
Español
GLPI es un paquete de software gratuito de gestión de activos y TI. Desde la versión 11.0.0 hasta antes de la 11.0.5, un administrador de GLPI puede realizar una solicitud SSRF a través de la función Webhook. Este problema ha sido parcheado en la versión 11.0.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2026

Vulnerabilidad en GLPI (CVE-2026-23624)
Fecha de publicación:
04/02/2026
Idioma:
Español
GLPI es un paquete de software gratuito de gestión de activos y TI. En versiones desde la 0.71 hasta antes de la 10.0.23 y antes de la 11.0.5, cuando se utiliza la autenticación remota, basada en variables SSO, un usuario puede robar una sesión GLPI previamente abierta por otro usuario en la misma máquina. Este problema ha sido parcheado en las versiones .
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2026

Vulnerabilidad en n8n (CVE-2026-21893)
Fecha de publicación:
04/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Desde la versión 0.187.0 hasta antes de la 1.120.3, se identificó una vulnerabilidad de inyección de comandos en la funcionalidad de instalación de paquetes de la comunidad de n8n. El problema permitía a usuarios autenticados con permisos administrativos ejecutar comandos de sistema arbitrarios en el host de n8n bajo condiciones específicas. Este problema ha sido parcheado en la versión 1.120.3.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/02/2026

Vulnerabilidad en unstructured de Unstructured-IO (CVE-2025-64712)
Fecha de publicación:
04/02/2026
Idioma:
Español
La librería 'unstructured' proporciona componentes de código abierto para la ingesta y el preprocesamiento de imágenes y documentos de texto, como PDF, HTML, documentos de Word y muchos más. Antes de la versión 0.18.18, una vulnerabilidad de salto de ruta en la función 'partition_msg' permite a un atacante escribir o sobrescribir archivos arbitrarios en el sistema de archivos al procesar archivos MSG maliciosos con archivos adjuntos. Este problema ha sido parcheado en la versión 0.18.18.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/02/2026

Vulnerabilidad en OpenSTAManager (CVE-2025-69215)
Fecha de publicación:
04/02/2026
Idioma:
Español
OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. En la versión 2.9.8 y anteriores, existe una vulnerabilidad de inyección SQL en el Módulo Stampe. Al momento de la publicación, no existe ningún parche conocido.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en OpenSTAManager (CVE-2025-69213)
Fecha de publicación:
04/02/2026
Idioma:
Español
OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. En la versión 2.9.8 y anteriores, existe una vulnerabilidad de inyección SQL en el endpoint ajax_complete.php al manejar la operación get_sedi. Un atacante autenticado puede inyectar código SQL malicioso a través del parámetro idanagrafica, lo que lleva a un acceso no autorizado a la base de datos. En el momento de la publicación, no existe ningún parche conocido.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en n8n (CVE-2026-25054)
Fecha de publicación:
04/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 1.123.9 y 2.2.1, existía una vulnerabilidad de cross-site scripting (XSS) en un componente de renderizado de markdown utilizado en la interfaz de n8n, incluyendo notas adhesivas de flujos de trabajo y otras áreas que admiten contenido markdown. Un usuario autenticado con permiso para crear o modificar flujos de trabajo podría abusar de esto para ejecutar scripts con privilegios del mismo origen cuando otros usuarios interactúan con un flujo de trabajo creado maliciosamente. Esto podría llevar al secuestro de sesión y a la toma de control de cuenta. Este problema ha sido parcheado en las versiones 1.123.9 y 2.2.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
05/02/2026

Vulnerabilidad en n8n (CVE-2026-25056)
Fecha de publicación:
04/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 1.118.0 y 2.4.0, una vulnerabilidad en el modo de consulta SQL del nodo Merge permitía a usuarios autenticados con permiso para crear o modificar flujos de trabajo escribir archivos arbitrarios en el sistema de archivos del servidor n8n, lo que podría conducir a la ejecución remota de código. Este problema ha sido parcheado en las versiones 1.118.0 y 2.4.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
05/02/2026

Vulnerabilidad en n8n (CVE-2026-25052)
Fecha de publicación:
04/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 1.123.18 y 2.5.0, una vulnerabilidad en los controles de acceso a archivos permite a usuarios autenticados con permiso para crear o modificar flujos de trabajo leer archivos sensibles del sistema anfitrión de n8n. Esto puede ser explotado para obtener datos de configuración críticos y credenciales de usuario, lo que lleva a una toma de control completa de la cuenta de cualquier usuario en la instancia. Este problema ha sido parcheado en las versiones 1.123.18 y 2.5.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
05/02/2026

Vulnerabilidad en n8n (CVE-2026-25053)
Fecha de publicación:
04/02/2026
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 1.123.10 y 2.5.0, las vulnerabilidades en el nodo Git permitían a usuarios autenticados con permiso para crear o modificar flujos de trabajo ejecutar comandos de sistema arbitrarios o leer archivos arbitrarios en el host de n8n. Este problema ha sido parcheado en las versiones 1.123.10 y 2.5.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
05/02/2026
Suscribirse a Vulnerabilidades