Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Tata Consultancy Services Cognix (CVE-2026-26418)
Fecha de publicación:
05/03/2026
Idioma:
Español
Falta de autenticación y autorización en la API web de Tata Consultancy Services Cognix Recon Client v3.0 permite a atacantes remotos acceder a la funcionalidad de la aplicación sin restricciones a través de la red.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/03/2026

Vulnerabilidad en Gogs (CVE-2026-25921)
Fecha de publicación:
05/03/2026
Idioma:
Español
Gogs es un servicio Git autoalojado de código abierto. Antes de la versión 0.14.2, un objeto LFS sobrescribible entre diferentes repositorios conduce a un ataque a la cadena de suministro, todos los objetos LFS son vulnerables a ser sobrescritos maliciosamente por atacantes maliciosos. Este problema ha sido parcheado en la versión 0.14.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/03/2026

Vulnerabilidad en Gogs (CVE-2026-26022)
Fecha de publicación:
05/03/2026
Idioma:
Español
Gogs es un servicio Git autoalojado de código abierto. Antes de la versión 0.14.2, existe una vulnerabilidad de cross-site scripting (XSS) almacenado en la funcionalidad de comentarios y descripción de incidencias. El saneador HTML de la aplicación permite explícitamente esquemas URI data:, permitiendo a usuarios autenticados inyectar ejecución arbitraria de JavaScript a través de enlaces maliciosos. Este problema ha sido parcheado en la versión 0.14.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/03/2026

Vulnerabilidad en Gogs (CVE-2026-26194)
Fecha de publicación:
05/03/2026
Idioma:
Español
Gogs es un servicio Git autoalojado de código abierto. Antes de la versión 0.14.2, existe un problema de seguridad en Gogs donde la eliminación de una versión puede fallar si un nombre de etiqueta controlado por el usuario se pasa a Git sin el separador correcto, lo que permite que se inyecten opciones de Git y alteren el proceso. Este problema ha sido parcheado en la versión 0.14.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
06/03/2026

Vulnerabilidad en Gogs (CVE-2026-26195)
Fecha de publicación:
05/03/2026
Idioma:
Español
Gogs es un servicio Git autoalojado de código abierto. Antes de la versión 0.14.2, el XSS almacenado sigue siendo posible a través de la renderización insegura de plantillas que mezcla la entrada del usuario con un manejo seguro y permisivo del saneador de las URL de datos. Este problema ha sido parcheado en la versión 0.14.2.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/03/2026

Vulnerabilidad en EAP610 v3 de TP-Link Systems Inc. (CVE-2025-7375)
Fecha de publicación:
05/03/2026
Idioma:
Español
Se identificó una vulnerabilidad de denegación de servicio (DoS) en Omada EAP610 v3. Un atacante con acceso a la red adyacente puede enviar solicitudes manipuladas para provocar que el servicio HTTP del dispositivo falle. Esto provoca una indisponibilidad temporal del servicio hasta que el dispositivo se reinicia. Este problema afecta a las versiones de firmware de Omada EAP610 anteriores a 1.6.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en Wincor Nixdorf wnBios64.sys (CVE-2025-70616)
Fecha de publicación:
05/03/2026
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer de pila en el controlador del kernel Wincor Nixdorf wnBios64.sys (versión 1.2.0.0) en el gestor IOCTL para el código 0x80102058. La vulnerabilidad es causada por la falta de comprobación de límites en el parámetro Options controlado por el usuario antes de copiar datos en un búfer de pila de 40 bytes (Src[40]) usando memmove. Un atacante con acceso local puede explotar esta vulnerabilidad enviando una solicitud IOCTL manipulada con Options > 40, causando un desbordamiento de búfer de pila que puede conducir a la ejecución de código del kernel, escalada de privilegios local o denegación de servicio (caída del sistema). Además, el mismo gestor IOCTL puede filtrar direcciones del kernel y otros datos sensibles de la pila al leer más allá de los límites del búfer.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/03/2026

Vulnerabilidad en Eclipse OpenMQ de Eclipse Foundation (CVE-2026-24457)
Fecha de publicación:
05/03/2026
Idioma:
Español
Un análisis inseguro de la configuración de OpenMQ permite a un atacante remoto leer archivos arbitrarios de un servidor de MQ Broker. Una explotación completa podría leer archivos no autorizados del sistema operativo anfitrión de OpenMQ. En algunos escenarios se podría lograr RCE.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/03/2026

Vulnerabilidad en D-Link DIR-513 (CVE-2025-70232)
Fecha de publicación:
05/03/2026
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer de pila en D-Link DIR-513 v1.10 a través del parámetro curTime a goform/formSetMACFilter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/03/2026

Vulnerabilidad en D-Link DIR-513 (CVE-2025-70233)
Fecha de publicación:
05/03/2026
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer de pila en D-Link DIR-513 v1.10 a través del parámetro curTime a goform/formSetEnableWizard.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/03/2026

Vulnerabilidad en Exploding Gradients RAGAS (CVE-2025-45691)
Fecha de publicación:
05/03/2026
Idioma:
Español
Una vulnerabilidad de lectura arbitraria de archivos existe en la clase ImageTextPromptValue en Exploding Gradients RAGAS v0.2.3 a v0.2.14. La vulnerabilidad se origina en la validación y saneamiento inadecuados de las URL proporcionadas en el parámetro retrieved_contexts al manejar entradas multimodales.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/03/2026

Vulnerabilidad en D-Link DIR-513 (CVE-2025-70229)
Fecha de publicación:
05/03/2026
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer de pila en D-Link DIR-513 v1.10 a través del parámetro curTime a goform/formSchedule.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/03/2026
Suscribirse a Vulnerabilidades