Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en basercms de baserproject (CVE-2026-30940)
Fecha de publicación:
31/03/2026
Idioma:
Español
baserCMS es un framework de desarrollo de sitios web. Antes de la versión 5.2.3, existe una vulnerabilidad de salto de ruta en la API de gestión de archivos de temas (/baser/api/admin/bc-theme-file/theme_files/add.json) que permite la escritura arbitraria de archivos. Un administrador autenticado puede incluir secuencias ../ en el parámetro de ruta para crear un archivo PHP en un directorio arbitrario fuera del directorio de temas, lo que puede resultar en ejecución remota de código (RCE). Este problema ha sido parcheado en la versión 5.2.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en basercms de baserproject (CVE-2026-30880)
Fecha de publicación:
31/03/2026
Idioma:
Español
baserCMS es un framework de desarrollo de sitios web. Antes de la versión 5.2.3, baserCMS tiene una vulnerabilidad de inyección de comandos del sistema operativo en el instalador. Este problema ha sido parcheado en la versión 5.2.3.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
01/04/2026

Vulnerabilidad en basercms de baserproject (CVE-2026-30879)
Fecha de publicación:
31/03/2026
Idioma:
Español
baserCMS es un framework de desarrollo de sitios web. Antes de la versión 5.2.3, baserCMS tiene una vulnerabilidad de cross-site scripting en las publicaciones de blog. Este problema ha sido parcheado en la versión 5.2.3.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en basercms de baserproject (CVE-2026-30878)
Fecha de publicación:
31/03/2026
Idioma:
Español
baserCMS es un framework de desarrollo de sitios web. Anteriormente a la versión 5.2.3, una API pública de envío de correo permite a usuarios no autenticados enviar entradas de formularios de correo incluso cuando el formulario correspondiente no está aceptando envíos. Esto elude los controles administrativos destinados a detener la recepción de formularios y permite el correo no deseado o el abuso a través de la API. Este problema ha sido parcheado en la versión 5.2.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en basercms de baserproject (CVE-2026-30877)
Fecha de publicación:
31/03/2026
Idioma:
Español
baserCMS es un framework de desarrollo de sitios web. Antes de la versión 5.2.3, existe una vulnerabilidad de inyección de comandos del sistema operativo en la funcionalidad de actualización. Debido a este problema, un usuario autenticado con privilegios de administrador en baserCMS puede ejecutar comandos arbitrarios del sistema operativo en el servidor con los privilegios de la cuenta de usuario que ejecuta baserCMS. Este problema ha sido parcheado en la versión 5.2.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/04/2026

Vulnerabilidad en basercms de baserproject (CVE-2026-27697)
Fecha de publicación:
31/03/2026
Idioma:
Español
baserCMS es un framework de desarrollo de sitios web. Antes de la versión 5.2.3, baserCMS tiene una vulnerabilidad de inyección SQL en las publicaciones de blog. Este problema ha sido parcheado en la versión 5.2.3.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en basercms de baserproject (CVE-2026-21861)
Fecha de publicación:
31/03/2026
Idioma:
Español
baserCMS es un framework de desarrollo de sitios web. Antes de la versión 5.2.3, baserCMS contiene una vulnerabilidad de inyección de comandos del sistema operativo en la funcionalidad de actualización del núcleo. Un administrador autenticado puede ejecutar comandos arbitrarios del sistema operativo en el servidor debido a un manejo inadecuado de la entrada controlada por el usuario que se pasa directamente a exec() sin suficiente validación o escape. Este problema ha sido parcheado en la versión 5.2.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/04/2026

Vulnerabilidad en basercms de baserproject (CVE-2025-32957)
Fecha de publicación:
31/03/2026
Idioma:
Español
baserCMS es un framework de desarrollo de sitios web. Antes de la versión 5.2.3, la función de restauración de la aplicación permite a los usuarios subir un archivo .zip, que luego se extrae automáticamente. Un archivo PHP dentro del archivo comprimido se incluye usando require_once sin validar ni restringir el nombre del archivo. Un atacante puede crear un archivo PHP malicioso dentro del zip y lograr la ejecución de código arbitrario cuando este se incluye. Este problema ha sido parcheado en la versión 5.2.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2026

Vulnerabilidad en CH22 de Tenda (CVE-2026-5156)
Fecha de publicación:
31/03/2026
Idioma:
Español
Se determinó una vulnerabilidad en Tenda CH22 1.0.0.1. Esto afecta a la función formQuickIndex del archivo /goform/QuickIndex del componente Gestor de Parámetros. Esta manipulación del argumento mit_linktype provoca un desbordamiento de búfer basado en pila. El ataque puede llevarse a cabo de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en Online Food Ordering System de code-projects (CVE-2026-5157)
Fecha de publicación:
31/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en code-projects Online Food Ordering System 1.0. Afecta a una función desconocida del archivo /form/order.php del componente Order Module. Dicha manipulación del argumento cust_id conduce a cross site scripting. El ataque puede ser realizado de forma remota. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en CH22 de Tenda (CVE-2026-5155)
Fecha de publicación:
30/03/2026
Idioma:
Español
Se encontró una vulnerabilidad en Tenda CH22 1.0.0.1. Esto afecta a la función fromAdvSetWan del archivo /goform/AdvSetWan del componente Gestor de Parámetros. La manipulación del argumento wanmode resulta en un desbordamiento de búfer basado en pila. El ataque puede ser ejecutado de forma remota. El exploit ha sido hecho público y podría ser usado.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en CH22 de Tenda (CVE-2026-5154)
Fecha de publicación:
30/03/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en Tenda CH22 1.0.0.1/1.If. El elemento afectado es la función fromSetCfm del archivo /goform/setcfm del componente Gestor de Parámetros. La manipulación del argumento funcname conduce a un desbordamiento de búfer basado en pila. La explotación remota del ataque es posible. El exploit ha sido divulgado al público y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/04/2026
Suscribirse a Vulnerabilidades