Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Linux (CVE-2026-23043)
Fecha de publicación:
04/02/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> btrfs: corrige la desreferencia de puntero NULL en do_abort_log_replay()<br /> <br /> Coverity informó un problema de desreferencia de puntero NULL (CID 1666756) en do_abort_log_replay(). Cuando btrfs_alloc_path() falla en replay_one_buffer(), wc-&amp;gt;subvol_path es NULL, pero btrfs_abort_log_replay() llama a do_abort_log_replay() que desreferencia incondicionalmente wc-&amp;gt;subvol_path al intentar imprimir información de depuración. Esto se corrige añadiendo una comprobación de NULL antes de desreferenciar wc-&amp;gt;subvol_path en do_abort_log_replay().
Gravedad: Pendiente de análisis
Última modificación:
04/02/2026

Vulnerabilidad en F5 BIG-IP (CVE-2026-22549)
Fecha de publicación:
04/02/2026
Idioma:
Español
Una vulnerabilidad existe en los Servicios de Entrada de Contenedores F5 BIG-IP que puede permitir permisos excesivos para leer secretos del clúster. Nota: Las versiones de software que han alcanzado el Fin del Soporte Técnico (EoTS) no son evaluadas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/02/2026

Vulnerabilidad en Linux (CVE-2026-23040)
Fecha de publicación:
04/02/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> wifi: mac80211_hwsim: corregir errata en la notificación de frecuencia<br /> <br /> La notificación NAN es para 5745 MHz, que corresponde al canal 149 y no a 5475, que en realidad no es un canal válido. Esto podría resultar en una desreferencia de puntero NULL en cfg80211_next_nan_dw_notif.
Gravedad: Pendiente de análisis
Última modificación:
04/02/2026

Vulnerabilidad en Linux (CVE-2026-23042)
Fecha de publicación:
04/02/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> idpf: corrección de la desconexión del dispositivo auxiliar cuando rdma no es compatible con el vport<br /> <br /> Si los flags del vport no contienen VIRTCHNL2_VPORT_ENABLE_RDMA, el controlador no asigna vdev_info para este vport. Esto lleva a una desreferencia de puntero NULL del kernel en idpf_idc_vport_dev_down(), que referencia vdev_info para cada vport independientemente.<br /> <br /> Compruebe si vdev_info fue alguna vez asignado antes de desconectar el dispositivo auxiliar.
Gravedad: Pendiente de análisis
Última modificación:
04/02/2026

Vulnerabilidad en Linux (CVE-2026-23044)
Fecha de publicación:
04/02/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> PM: hibernate: Corrige un fallo al liberar un compresor criptográfico no válido<br /> <br /> Cuando crypto_alloc_acomp() falla, devuelve un valor ERR_PTR, no NULL.<br /> <br /> El código de limpieza en save_compressed_image() y load_compressed_image() llama incondicionalmente a crypto_free_acomp() sin comprobar si hay ERR_PTR, lo que provoca que crypto_acomp_tfm() desreferencie un puntero no válido y provoque un fallo en el kernel.<br /> <br /> Esto puede activarse cuando el algoritmo de compresión no está disponible (p. ej., CONFIG_CRYPTO_LZO no habilitado).<br /> <br /> Solución añadiendo comprobaciones IS_ERR_OR_NULL() antes de llamar a crypto_free_acomp() y acomp_request_free(), similar a la comprobación kthread_stop() existente.<br /> <br /> [ rjw: Added 2 empty code lines ]
Gravedad: Pendiente de análisis
Última modificación:
04/02/2026

Vulnerabilidad en PPC (Belden) ONT 2K05X (CVE-2025-70545)
Fecha de publicación:
04/02/2026
Idioma:
Español
Existe una vulnerabilidad de cross-site scripting (XSS) almacenada en la interfaz de gestión web del router PPC (Belden) ONT 2K05X que ejecuta el firmware v1.1.9_206L. El componente Common Gateway Interface (CGI) maneja incorrectamente la entrada proporcionada por el usuario, permitiendo a un atacante remoto no autenticado inyectar JavaScript arbitrario que se almacena y ejecuta persistentemente cuando se accede a la interfaz afectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en Linux (CVE-2025-71192)
Fecha de publicación:
04/02/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> ALSA: ac97: corrección de una doble liberación en snd_ac97_controller_register()<br /> <br /> Si ac97_add_adapter() falla, put_device() es la forma correcta de liberar la referencia del dispositivo. kfree() no es necesario.<br /> Añadir kfree() si idr_alloc() falla y en ac97_adapter_release() para realizar la limpieza.<br /> <br /> Encontrado mediante revisión de código.
Gravedad: Pendiente de análisis
Última modificación:
04/02/2026

Vulnerabilidad en BIG-IP de F5 (CVE-2026-20732)
Fecha de publicación:
04/02/2026
Idioma:
Español
Existe una vulnerabilidad en una página no revelada de la utilidad de configuración de BIG-IP que podría permitir a un atacante suplantar mensajes de error. Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas.
Gravedad CVSS v4.0: BAJA
Última modificación:
13/02/2026

Vulnerabilidad en F5 (CVE-2026-1642)
Fecha de publicación:
04/02/2026
Idioma:
Español
Una vulnerabilidad existe en NGINX OSS y NGINX Plus cuando está configurado para actuar como proxy hacia servidores upstream de Transport Layer Security (TLS). Un atacante con una posición de man-in-the-middle (MitM) en el lado del servidor upstream —junto con condiciones fuera del control del atacante— podría ser capaz de inyectar datos en texto plano en la respuesta de un servidor proxy upstream. Nota: Las versiones de software que han alcanzado el Fin del Soporte Técnico (EoTS) no son evaluadas.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en BIG-IP Edge Client de F5 (CVE-2026-20730)
Fecha de publicación:
04/02/2026
Idioma:
Español
Una vulnerabilidad existe en BIG-IP Edge Client y clientes VPN de navegador en Windows que puede permitir a los atacantes obtener acceso a información sensible. Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas
Gravedad CVSS v4.0: BAJA
Última modificación:
13/02/2026

Vulnerabilidad en BIG-IP de F5 (CVE-2026-22548)
Fecha de publicación:
04/02/2026
Idioma:
Español
Cuando una política de seguridad BIG-IP Advanced WAF o ASM está configurada en un servidor virtual, solicitudes no reveladas junto con condiciones fuera del control del atacante pueden causar la terminación del proceso bd. Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no se evalúan.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en Tarot, Astro &amp;amp; Healing (CVE-2025-69618)
Fecha de publicación:
04/02/2026
Idioma:
Español
Una vulnerabilidad de sobrescritura de archivo arbitrario en el proceso de importación de archivos de Tarot, Astro &amp;amp; Healing v11.4.0 permite a los atacantes sobrescribir archivos internos críticos, lo que podría conducir a la ejecución de código arbitrario o a la exposición de información sensible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2026
Suscribirse a Vulnerabilidades