Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en NetSetMan de Netsetman (CVE-2018-25228)
Fecha de publicación:
30/03/2026
Idioma:
Español
NetSetMan 4.7.1 contiene una vulnerabilidad de desbordamiento de búfer en la función Workgroup que permite a atacantes locales bloquear la aplicación al proporcionar una entrada de tamaño excesivo. Los atacantes pueden crear un archivo de configuración malicioso con datos excesivos y pegarlo en el campo Workgroup para desencadenar una condición de denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en BulletProof FTP Server de Bpftpserver (CVE-2018-25229)
Fecha de publicación:
30/03/2026
Idioma:
Español
BulletProof FTP Server 2019.0.0.50 contiene una vulnerabilidad de denegación de servicio en la interfaz de configuración SMTP que permite a atacantes locales bloquear la aplicación al proporcionar una cadena de caracteres sobredimensionada. Los atacantes pueden introducir un búfer de 257 caracteres 'A' en el campo SMTP Server y provocar un bloqueo al hacer clic en el botón Test.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en Valentina Studio de Valentina-Db (CVE-2018-25227)
Fecha de publicación:
30/03/2026
Idioma:
Español
Valentina Studio 9.0.4 contiene una vulnerabilidad de denegación de servicio que permite a atacantes locales bloquear la aplicación al proporcionar una cadena excesivamente larga en el campo Host. Los atacantes pueden desencadenar el bloqueo al pegar un búfer de 256 bytes de caracteres repetidos en el parámetro Host durante los intentos de conexión al servidor.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en FTPShell Server de Ftpshell (CVE-2018-25226)
Fecha de publicación:
30/03/2026
Idioma:
Español
FTPShell Server 6.83 contiene una vulnerabilidad de desbordamiento de búfer que permite a atacantes locales bloquear la aplicación al suministrar una cadena excesivamente larga en el campo de nombre de cuenta. Los atacantes pueden desencadenar una denegación de servicio al pegar una carga útil de 417 bytes en el parámetro 'Account name to ban' dentro de la interfaz de Gestión de Cuentas FTP.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en Robolinho Update Software de AL-KO (CVE-2026-1612)
Fecha de publicación:
30/03/2026
Idioma:
Español
El Software de actualización AL-KO Robolinho tiene claves de acceso y secretas de AWS codificadas de forma rígida que permiten a cualquiera acceder al bucket de AWS de AL-KO. Usar las claves directamente podría dar al atacante mayor acceso que la propia aplicación. La clave otorga AL MENOS acceso de lectura a algunos de los objetos en el bucket.<br /> <br /> El proveedor fue notificado con antelación sobre esta vulnerabilidad, pero no respondió con los detalles de la vulnerabilidad o el rango de versiones vulnerables. Solo la versión 8.0.21.0610 fue probada y confirmada como vulnerable, otras versiones no fueron probadas y también podrían ser vulnerables.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/04/2026

CVE-2026-5128
Fecha de publicación:
30/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/03/2026

Vulnerabilidad en Performance Library de GIGABYTE (CVE-2026-4416)
Fecha de publicación:
30/03/2026
Idioma:
Español
El componente Performance Library de Gigabyte Control Center tiene una vulnerabilidad de deserialización insegura. Atacantes locales autenticados pueden enviar una carga útil serializada maliciosa al servicio EasyTune Engine, lo que resulta en escalada de privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/04/2026

Vulnerabilidad en Gigabyte Control Center de GIGABYTE (CVE-2026-4415)
Fecha de publicación:
30/03/2026
Idioma:
Español
Gigabyte Control Center desarrollado por GIGABYTE tiene una vulnerabilidad de escritura de archivos arbitrarios. Cuando la función de emparejamiento está habilitada, atacantes remotos no autenticados pueden escribir archivos arbitrarios en cualquier ubicación del sistema operativo subyacente, lo que lleva a la ejecución de código arbitrario o a la escalada de privilegios.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
08/04/2026

Vulnerabilidad en Red Hat (CVE-2026-5121)
Fecha de publicación:
30/03/2026
Idioma:
Español
Se encontró un fallo en libarchive. En sistemas de 32 bits, existe una vulnerabilidad de desbordamiento de entero en la lógica de asignación de punteros de bloque zisofs. Un atacante remoto puede explotar esto al proporcionar una imagen ISO9660 especialmente diseñada, lo que puede llevar a un desbordamiento de búfer de pila. Esto podría permitir potencialmente la ejecución de código arbitrario en el sistema afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/05/2026

Vulnerabilidad en WAGO (CVE-2026-2328)
Fecha de publicación:
30/03/2026
Idioma:
Español
Un atacante remoto no autenticado puede explotar una validación de entrada insuficiente para acceder a componentes de backend más allá de su alcance previsto mediante salto de ruta, lo que resulta en la exposición de información sensible.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en tinyproxy (CVE-2026-3945)
Fecha de publicación:
30/03/2026
Idioma:
Español
Una vulnerabilidad de desbordamiento de entero en el analizador de codificación de transferencia fragmentada HTTP en tinyproxy hasta la versión 1.11.3 inclusive permite a un atacante remoto no autenticado causar una denegación de servicio (DoS). El problema ocurre porque los valores de tamaño de fragmento se analizan usando strtol() sin validar adecuadamente las condiciones de desbordamiento (p. ej., errno == ERANGE). Un tamaño de fragmento manipulado como 0x7fffffffffffffff (LONG_MAX) omite la comprobación de validación existente (chunklen &amp;lt; 0), lo que lleva a un desbordamiento de entero con signo durante las operaciones aritméticas (chunklen + 2). Esto resulta en cálculos de tamaño incorrectos, lo que hace que el proxy intente leer una cantidad extremadamente grande de datos del cuerpo de la solicitud y manteniendo las conexiones de los trabajadores abiertas indefinidamente. Un atacante puede explotar este comportamiento para agotar todos los espacios de trabajador disponibles, impidiendo que se acepten nuevas conexiones y causando una indisponibilidad completa del servicio. El upstream abordó este problema en el commit bb7edc4; sin embargo, la última versión estable (1.11.3) sigue afectada en el momento de la publicación.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/03/2026

Vulnerabilidad en ESET Protect (on-prem) de ESET, spol. s.r.o (CVE-2025-3716)
Fecha de publicación:
30/03/2026
Idioma:
Español
Enumeración de usuarios en ESET Protect (en las instalaciones) mediante temporización de respuesta.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/03/2026
Suscribirse a Vulnerabilidades