Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Foxit PDF Editor (CVE-2026-3774)
Fecha de publicación:
01/04/2026
Idioma:
Español
La aplicación permite que JavaScript de PDF y las acciones de documento/impresión (como WillPrint/DidPrint) actualicen campos de formulario, anotaciones o grupos de contenido opcional (OCG) inmediatamente antes o después de la redacción, el cifrado o la impresión. Estas actualizaciones impulsadas por scripts no están completamente cubiertas por la lógica existente de redacción, cifrado e impresión, lo que, bajo estructuras de documento y flujos de trabajo de usuario específicos, puede hacer que una pequeña cantidad de contenido sensible permanezca sin eliminar o sin cifrar como se esperaba, o resultar en una salida impresa que difiera ligeramente de lo que se revisó en pantalla.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2026

Vulnerabilidad en Foxit PDF Editor y Reader (CVE-2026-3778)
Fecha de publicación:
01/04/2026
Idioma:
Español
La aplicación no detecta ni protege contra referencias cíclicas de objetos PDF al manejar JavaScript en PDF. Cuando se elaboran páginas y anotaciones que se referencian mutuamente en un bucle, al pasar el documento a las API (por ejemplo, SOAP) que realizan un recorrido profundo puede causar recursión incontrolada, agotamiento de la pila y bloqueos de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/04/2026

Vulnerabilidad en Foxit PDF Editor y Reader (CVE-2026-3777)
Fecha de publicación:
01/04/2026
Idioma:
Español
La aplicación no valida correctamente la vida útil y la validez de los punteros internos de la caché de vistas después de que JavaScript cambia el zoom del documento y el estado de la página. Cuando un script modifica la propiedad de zoom y luego desencadena un cambio de página, el objeto de vista original puede ser destruido mientras los punteros obsoletos aún se mantienen y luego se desreferencian, lo que, bajo estructuras de JavaScript y documentos especialmente diseñadas, puede llevar a una condición de uso después de liberación y potencialmente permitir la ejecución de código arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/04/2026

Vulnerabilidad en Foxit PDF Editor y Reader (CVE-2026-3776)
Fecha de publicación:
01/04/2026
Idioma:
Español
La aplicación no valida la presencia de los datos de apariencia (AP) requeridos antes de acceder a los recursos de anotación de sello. Cuando un PDF contiene una anotación de sello a la que le falta su entrada AP, el código continúa desreferenciando el objeto asociado sin una comprobación previa de nulidad o validez, lo que permite que un documento manipulado active una desreferencia de puntero nulo y bloquee la aplicación, lo que resulta en denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/04/2026

Vulnerabilidad en Foxit PDF Editor y Reader (CVE-2026-3775)
Fecha de publicación:
01/04/2026
Idioma:
Español
El servicio de actualización de la aplicación, al buscar actualizaciones, carga ciertas bibliotecas del sistema desde una ruta de búsqueda que incluye directorios escribibles por usuarios con pocos privilegios y no está estrictamente restringida a ubicaciones de sistema confiables. Debido a que estas bibliotecas pueden ser resueltas y cargadas desde ubicaciones escribibles por el usuario, un atacante local puede colocar una biblioteca maliciosa allí y hacer que se cargue con privilegios de SYSTEM, lo que resulta en una escalada de privilegios local y ejecución de código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/04/2026

Vulnerabilidad en XenForo (CVE-2026-35057)
Fecha de publicación:
01/04/2026
Idioma:
Español
XenForo anterior a 2.3.10 y anterior a 2.2.19 es vulnerable a cross-site scripting (XSS) almacenado en menciones de texto estructurado, afectando principalmente el contenido de publicaciones de perfil heredadas. Un atacante puede inyectar scripts maliciosos a través de menciones elaboradas que se almacenan y ejecutan cuando otros usuarios ven el contenido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en XenForo (CVE-2026-35054)
Fecha de publicación:
01/04/2026
Idioma:
Español
XenForo anterior a 2.3.9 es vulnerable a cross-site scripting (XSS) almacenado relacionado con la renderización de código BB. Un atacante puede inyectar scripts maliciosos a través de código BB que se almacenan y ejecutan cuando otros usuarios ven el contenido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en XenForo (CVE-2026-35055)
Fecha de publicación:
01/04/2026
Idioma:
Español
XenForo anterior a 2.3.9 y anterior a 2.2.18 es vulnerable a cross-site scripting (XSS) relacionado con el uso de lightbox en publicaciones. Un atacante puede inyectar scripts maliciosos que se ejecutan cuando los usuarios interactúan con el contenido de la publicación mostrado en el lightbox.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en XenForo (CVE-2026-35056)
Fecha de publicación:
01/04/2026
Idioma:
Español
XenForo anterior a 2.3.9 y anterior a 2.2.18 permite la ejecución remota de código (RCE) por usuarios administradores autenticados, pero maliciosos. Un atacante con acceso al panel de administración puede ejecutar código arbitrario en el servidor.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en gougucms (CVE-2026-5248)
Fecha de publicación:
01/04/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en gougucms 4.08.18. Esto afecta a la función reg_submit del archivo gougucms-master\app\home\controller\Login.php del componente Gestor de Registro de Usuario. Dicha manipulación del argumento level conduce a atributos de objeto determinados dinámicamente. El ataque puede ser realizado de forma remota. El exploit ha sido divulgado al público y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en XenForo (CVE-2025-71278)
Fecha de publicación:
01/04/2026
Idioma:
Español
XenForo anterior a 2.3.5 permite a las aplicaciones cliente OAuth2 solicitar ámbitos no autorizados. Esto afecta a cualquier cliente que utilice clientes OAuth2 en cualquier versión de XenForo 2.3 anterior a 2.3.5, lo que podría permitir a las aplicaciones cliente obtener acceso más allá de su nivel de autorización previsto.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en XenForo (CVE-2025-71280)
Fecha de publicación:
01/04/2026
Idioma:
Español
XenForo anterior a 2.3.7 permite la revelación de información a través del almacenamiento en caché de páginas de cuentas locales en sistemas compartidos. En sistemas donde múltiples usuarios comparten un navegador o una máquina, las páginas de cuentas almacenadas en caché podrían exponer información sensible del usuario a otros usuarios locales.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/04/2026
Suscribirse a Vulnerabilidades