Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco IOS XE Software (CVE-2026-20113)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión del entorno de alojamiento de aplicaciones Cisco IOx basada en web de Cisco IOS XE Software podría permitir a un atacante remoto no autenticado realizar un ataque de inyección de retorno de carro y salto de línea (CRLF) contra un usuario. Esta vulnerabilidad se debe a una validación insuficiente de la entrada del usuario. Un atacante podría explotar esta vulnerabilidad enviando paquetes manipulados a un dispositivo afectado. Un exploit exitoso podría permitir al atacante inyectar arbitrariamente entradas de registro, manipular la estructura de los archivos de registro u ocultar eventos de registro legítimos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Cisco IOS XE Software (CVE-2026-20104)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad en el bootloader del software Cisco IOS XE para los switches Cisco Catalyst serie 9200, los switches integrados Cisco Catalyst ESS9300, los switches robustos Cisco Catalyst IE9310 e IE9320, y los switches robustos Cisco IE3500 e IE3505 podría permitir a un atacante local autenticado con privilegios de nivel 15 o a un atacante no autenticado con acceso físico a un dispositivo afectado ejecutar código arbitrario en el momento del arranque y romper la cadena de confianza.<br /> Esta vulnerabilidad se debe a una validación insuficiente del software en el momento del arranque. Un atacante podría explotar esta vulnerabilidad manipulando los binarios cargados en un dispositivo afectado para eludir algunas de las comprobaciones de integridad que se realizan durante el proceso de arranque. Un exploit exitoso podría permitir al atacante ejecutar código que elude el requisito de ejecutar imágenes firmadas por Cisco.<br /> Cisco ha asignado a este aviso de seguridad una Calificación de Impacto de Seguridad (SIR) de Alta en lugar de Media, como indica la puntuación, porque esta vulnerabilidad permite a un atacante eludir una característica de seguridad importante de un dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Cisco Catalyst SD-WAN Manager (CVE-2026-20108)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad en la interfaz de gestión basada en web de Cisco Catalyst SD-WAN Manager podría permitir a un atacante remoto autenticado realizar un ataque de cross-site scripting (XSS) contra un usuario de la interfaz de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada del usuario. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario de la interfaz de gestión basada en web para que haga clic en un enlace manipulado. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información sensible basada en el navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Cisco IOS XE Software (CVE-2026-20110)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad en la CLI de Cisco IOS XE Software podría permitir a un atacante autenticado y local causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad existe porque se asocian privilegios incorrectos con el comando start maintenance. Un atacante podría explotar esta vulnerabilidad al acceder a la CLI de gestión del dispositivo afectado como un usuario con pocos privilegios y usar el comando start maintenance. Un exploit exitoso podría permitir al atacante poner el dispositivo en modo de mantenimiento, lo que apaga las interfaces, resultando en una condición de denegación de servicio (DoS). En caso de explotación, un administrador del dispositivo puede conectarse a la CLI y usar el comando stop maintenance para restaurar las operaciones.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Cisco IOS XE Software (CVE-2026-20084)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad en la característica de DHCP snooping del software Cisco IOS XE podría permitir a un atacante remoto no autenticado causar que los paquetes BOOTP sean reenviados entre VLANs, resultando en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a un manejo inadecuado de los paquetes BOOTP en los switches Cisco Catalyst de la serie 9000. Un atacante podría explotar esta vulnerabilidad enviando paquetes de solicitud BOOTP a un dispositivo afectado. Un exploit exitoso podría permitir a un atacante reenviar paquetes BOOTP de una VLAN a otra, resultando en una fuga de VLAN BOOTP y potencialmente llevando a una alta utilización de la CPU. Esto hace que el dispositivo sea inalcanzable (ya sea a través de la consola o la gestión remota) e incapaz de reenviar tráfico, resultando en una condición de DoS. Nota: Esta vulnerabilidad puede ser explotada con paquetes BOOTP unicast o broadcast. Existen soluciones alternativas que abordan esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en Cisco IOS XE Software (CVE-2026-20086)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad en el procesamiento de paquetes de Control y Aprovisionamiento de Puntos de Acceso Inalámbricos (CAPWAP) de Cisco IOS XE Wireless Controller Software para la familia Catalyst CW9800 podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo inadecuado de un paquete CAPWAP malformado. Un atacante podría explotar esta vulnerabilidad enviando un paquete CAPWAP malformado a un dispositivo afectado. Un exploit exitoso podría permitir al atacante causar que el dispositivo afectado se reinicie inesperadamente, lo que resultaría en una condición de DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en Cisco IOS XE Software (CVE-2026-20083)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad en la característica de servidor del Secure Copy Protocol (SCP) de Cisco IOS XE Software podría permitir a un atacante local autenticado con bajos privilegios causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo inadecuado de una solicitud SCP malformada. Un atacante podría explotar esta vulnerabilidad emitiendo un comando manipulado a través de SSH. Un exploit exitoso podría permitir al atacante causar que el dispositivo se recargue inesperadamente, lo que resultaría en una condición de DoS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Login Disable de Drupal (CVE-2026-1917)
Fecha de publicación:
25/03/2026
Idioma:
Español
Vulnerabilidad de omisión de autenticación Usando una Ruta o Canal Alternativo en Drupal Login Disable permite la Omisión de Funcionalidad. Este problema afecta a Login Disable: desde 0.0.0 antes de 2.1.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/04/2026

Vulnerabilidad en Cisco IOS XE Software (CVE-2026-20004)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad en la biblioteca TLS del software Cisco IOS XE podría permitir a un atacante adyacente no autenticado agotar la memoria disponible de un dispositivo afectado. Esta vulnerabilidad se debe a una gestión inadecuada de los recursos de memoria durante la configuración de la conexión TLS. Un atacante podría explotar esta vulnerabilidad desencadenando repetidamente las condiciones que causan el aumento de memoria. Esto podría hacerse de varias maneras, como intentando repetidamente la autenticación del Protocolo de Autenticación Extensible (EAP) cuando el EAP local está habilitado en un dispositivo afectado o utilizando un ataque de intermediario y restableciendo las conexiones TLS entre el dispositivo afectado y otros dispositivos. Un exploit exitoso podría permitir al atacante agotar la memoria disponible en un dispositivo afectado, lo que resultaría en una recarga inesperada y una condición de denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en Cisco IOS XE Software (CVE-2026-20012)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad en la función de Intercambio de Claves de Internet versión 2 (IKEv2) de Cisco IOS Software, Cisco IOS XE Software, Cisco Secure Firewall Adaptive Security Appliance (ASA) Software y Cisco Secure Firewall Threat Defense (FTD) Software podría permitir a un atacante remoto no autenticado activar una fuga de memoria, lo que resultaría en una condición de denegación de servicio (DoS) en un dispositivo afectado.<br /> Esta vulnerabilidad se debe a un análisis incorrecto de los paquetes IKEv2. Un atacante podría explotar esta vulnerabilidad enviando paquetes IKEv2 manipulados a un dispositivo afectado. Un exploit exitoso de Cisco IOS Software y IOS XE Software podría permitir al atacante provocar que el dispositivo afectado se reinicie, lo que resultaría en una condición de DoS. Un exploit exitoso de Cisco Secure Firewall ASA Software y Secure FTD Software podría permitir al atacante agotar parcialmente la memoria del sistema, lo que resultaría en inestabilidad del sistema, como la incapacidad de establecer nuevas sesiones VPN IKEv2. Se requiere un reinicio manual del dispositivo para recuperarse de esta condición.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en OpenCart Core (CVE-2024-58341)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenCart Core 4.0.2.3 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través del parámetro &amp;#39;search&amp;#39;. Los atacantes pueden enviar solicitudes GET al endpoint de búsqueda de productos con valores &amp;#39;search&amp;#39; maliciosos para extraer información sensible de la base de datos utilizando técnicas de inyección SQL ciega basada en booleanos o ciega basada en tiempo.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/03/2026

CVE-2026-3126
Fecha de publicación:
25/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
25/03/2026
Suscribirse a Vulnerabilidades