Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IBM (CVE-2025-36033)
Fecha de publicación:
03/02/2026
Idioma:
Español
IBM Engineering Lifecycle Management - Gestión de Configuración Global 7.0.3 hasta 7.0.3 Interim Fix 017, y 7.1.0 hasta 7.1.0 Interim Fix 004 IBM Gestión de Configuración Global es vulnerable a cross-site scripting. Esta vulnerabilidad permite a un usuario autenticado incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría llevar a la divulgación de credenciales dentro de una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2026

Vulnerabilidad en IBM (CVE-2025-36094)
Fecha de publicación:
03/02/2026
Idioma:
Español
IBM Cloud Pak for Business Automation 25.0.0 hasta 25.0.0 Interim Fix 002, 24.0.1 hasta 24.0.1 Interim Fix 005, y 24.0.0 hasta 24.0.0 Interim Fix 007 podría permitir a un usuario autenticado causar una denegación de servicio o corromper datos existentes debido a la validación incorrecta de la longitud de entrada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2026

Vulnerabilidad en Easy Transfer de Rubikon Teknoloji (CVE-2020-37087)
Fecha de publicación:
03/02/2026
Idioma:
Español
Easy Transfer Wifi Transfer v1.7 para iOS contiene una persistente cross-site scripting vulnerabilidad que permite a atacantes remotos inyectar scripts maliciosos manipulando los parámetros oldPath, newPath y path en las funciones Crear Carpeta y Mover/Editar. Los atacantes pueden explotar una validación de entrada incorrecta a través de solicitudes POST para ejecutar JavaScript arbitrario en el contexto de la aplicación web móvil.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/02/2026

Vulnerabilidad en School ERP Pro de Arox (CVE-2020-37084)
Fecha de publicación:
03/02/2026
Idioma:
Español
School ERP Pro 1.0 contiene una vulnerabilidad de ejecución remota de código que permite a los usuarios administradores autenticados subir archivos PHP arbitrarios como fotos de perfil al eludir las comprobaciones de extensión de archivo. Los atacantes pueden explotar la validación de archivos incorrecta en pre-editstudent.inc.php para ejecutar código arbitrario en el servidor.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en Fastify (CVE-2026-25223)
Fecha de publicación:
03/02/2026
Idioma:
Español
Fastify es un framework web rápido y de baja sobrecarga, para Node.js. Antes de la versión 5.7.2, existe una vulnerabilidad de omisión de validación en Fastify donde los esquemas de validación del cuerpo de la solicitud especificados por Content-Type pueden ser completamente eludidos. Al añadir un carácter de tabulación (\t) seguido de contenido arbitrario al encabezado Content-Type, los atacantes pueden omitir la validación del cuerpo mientras el servidor sigue procesando el cuerpo como el tipo de contenido original. Este problema ha sido parcheado en la versión 5.7.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en Fastify (CVE-2026-25224)
Fecha de publicación:
03/02/2026
Idioma:
Español
Fastify es un framework web rápido y de baja sobrecarga, para Node.js. Antes de la versión 5.7.3, una vulnerabilidad de denegación de servicio en el manejo de respuestas de Web Streams de Fastify puede permitir a un cliente remoto agotar la memoria del servidor. Las aplicaciones que devuelven un ReadableStream (o una Response con un cuerpo de Web Stream) a través de reply.send() se ven afectadas. Un cliente lento o que no lee puede desencadenar un almacenamiento en búfer ilimitado cuando se ignora la contrapresión, lo que lleva a caídas del proceso o una degradación severa. Este problema ha sido parcheado en la versión 5.7.3.
Gravedad CVSS v3.1: BAJA
Última modificación:
10/02/2026

Vulnerabilidad en CI4MS (CVE-2026-25509)
Fecha de publicación:
03/02/2026
Idioma:
Español
CI4MS es un esqueleto de CMS basado en CodeIgniter 4 que ofrece una arquitectura modular, lista para producción, con autorización RBAC y soporte de temas. Antes de la versión 0.28.5.0, la implementación de autenticación en CI4MS es vulnerable a la enumeración de correos electrónicos. Un atacante no autenticado puede determinar si una dirección de correo electrónico está registrada en el sistema analizando la respuesta de la aplicación durante el proceso de restablecimiento de contraseña. Este problema ha sido parcheado en la versión 0.28.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en CI4MS (CVE-2026-25510)
Fecha de publicación:
03/02/2026
Idioma:
Español
CI4MS es un esqueleto de CMS basado en CodeIgniter 4 que ofrece una arquitectura modular, lista para producción, con autorización RBAC y soporte de temas. Antes de la versión 0.28.5.0, un usuario autenticado con permisos de editor de archivos puede lograr Ejecución Remota de Código (RCE) al aprovechar los puntos finales de creación y guardado de archivos; un atacante puede cargar y ejecutar código PHP arbitrario en el servidor. Este problema ha sido parcheado en la versión 0.28.5.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2026

Vulnerabilidad en Qwik de QwikDevde QwikDev (CVE-2026-25148)
Fecha de publicación:
03/02/2026
Idioma:
Español
Qwik es un framework de javascript enfocado en el rendimiento. Antes de la versión 1.19.0, una vulnerabilidad de cross-site scripting en la serialización de atributos virtuales de renderizado del lado del servidor de Qwik.js permite a un atacante remoto inyectar scripts web arbitrarios en páginas renderizadas por el servidor a través de atributos virtuales. La explotación exitosa permite la ejecución de scripts en el navegador de una víctima en el contexto del origen afectado. Este problema ha sido parcheado en la versión 1.19.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Qwik de QwikDevde QwikDev (CVE-2026-25149)
Fecha de publicación:
03/02/2026
Idioma:
Español
Qwik es un framework JavaScript centrado en el rendimiento. Antes de la versión 1.19.0, una vulnerabilidad de redirección abierta en el middleware de controlador de solicitudes predeterminado de Qwik City permite a un atacante remoto redirigir a los usuarios a URLs relativas al protocolo arbitrarias. La explotación exitosa permite a los atacantes crear enlaces de phishing convincentes que parecen originarse del dominio de confianza pero redirigen a la víctima a un sitio controlado por el atacante. Este problema ha sido parcheado en la versión 1.19.0.
Gravedad CVSS v4.0: BAJA
Última modificación:
10/02/2026

Vulnerabilidad en Qwik de QwikDevde QwikDev (CVE-2026-25150)
Fecha de publicación:
03/02/2026
Idioma:
Español
Qwik es un framework de javascript centrado en el rendimiento. Antes de la versión 1.19.0, existe una vulnerabilidad de contaminación de prototipos en la función formToObj() dentro del middleware @builder.io/qwik-city. La función procesa los nombres de los campos del formulario con notación de puntos (por ejemplo, user.name) para crear objetos anidados, pero no logra sanear nombres de propiedades peligrosos como __proto__, constructor y prototype. Esto permite a atacantes no autenticados contaminar Object.prototype enviando solicitudes HTTP POST manipuladas, lo que podría conducir a escalada de privilegios, omisión de autenticación o denegación de servicio. Este problema ha sido parcheado en la versión 1.19.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2026

Vulnerabilidad en Qwik de QwikDevde QwikDev (CVE-2026-25151)
Fecha de publicación:
03/02/2026
Idioma:
Español
Qwik es un framework de JavaScript enfocado en el rendimiento. Antes de la versión 1.19.0, el manejador de solicitudes del lado del servidor de Qwik City interpreta de forma inconsistente los encabezados de solicitud HTTP, lo que puede ser explotado por un atacante remoto para eludir las protecciones CSRF de envío de formularios utilizando encabezados Content-Type especialmente diseñados o con múltiples valores. Este problema ha sido parcheado en la versión 1.19.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026
Suscribirse a Vulnerabilidades