Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SAP NetWeaver (Feedback Notification) (CVE-2026-27684)
Fecha de publicación:
10/03/2026
Idioma:
Español
SAP NetWeaver Feedback Notifications Service contiene una vulnerabilidad de inyección SQL que permite a un atacante autenticado inyectar código SQL arbitrario a través de campos de entrada controlados por el usuario. La aplicación concatena estas entradas directamente en consultas SQL sin una validación o escape adecuados. Como resultado, un atacante puede manipular la lógica de la cláusula WHERE y potencialmente obtener acceso no autorizado o modificar información de la base de datos. Esta vulnerabilidad no tiene impacto en la integridad y bajo impacto en la confidencialidad y disponibilidad de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP NetWeaver Enterprise Portal Administration (CVE-2026-27685)
Fecha de publicación:
10/03/2026
Idioma:
Español
La Administración de SAP NetWeaver Enterprise Portal es vulnerable si un usuario privilegiado carga contenido no confiable o malicioso que, al deserializarse, podría resultar en un alto impacto en la confidencialidad, integridad y disponibilidad del sistema anfitrión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/03/2026

Vulnerabilidad en SAP GUI para Windows with active GuiXT (CVE-2026-24317)
Fecha de publicación:
10/03/2026
Idioma:
Español
SAP GUI para Windows permite que los archivos DLL se carguen desde directorios arbitrarios dentro de la aplicación. Un atacante no autenticado podría explotar esta vulnerabilidad persuadiendo a una víctima para que coloque un DLL malicioso dentro de uno de estos directorios. El comando malicioso se ejecuta en el contexto del usuario víctima siempre que GuiXT esté habilitado. Esta vulnerabilidad tiene un bajo impacto en la confidencialidad, integridad y disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-24310)
Fecha de publicación:
10/03/2026
Idioma:
Español
Debido a la falta de verificación de autorización en el Servidor de aplicaciones SAP NetWeaver para ABAP, un atacante autenticado podría ejecutar un módulo de función ABAP específico y leer información sensible del catálogo de la base de datos del sistema ABAP. Esta vulnerabilidad tiene un bajo impacto en la confidencialidad de la aplicación, sin efecto en la integridad y disponibilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2026

Vulnerabilidad en SAP Customer Checkout 2.0 (CVE-2026-24311)
Fecha de publicación:
10/03/2026
Idioma:
Español
La aplicación SAP Customer Checkout presenta ciertas características de diseño que implican el almacenamiento local de datos operativos utilizando mecanismos de protección reversibles. El acceso a estos datos, combinado con la interacción iniciada por el usuario, puede permitir que se produzcan modificaciones sin validación. Dichos cambios podrían afectar el comportamiento del sistema durante el inicio, lo que resultaría en un alto impacto en la confidencialidad e integridad de la aplicación, con un bajo impacto en la disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP Solution Tools Plug-In (ST-PI) (CVE-2026-24313)
Fecha de publicación:
10/03/2026
Idioma:
Español
SAP Solution Tools Plug-In (ST-PI) contiene un módulo de función que no realiza las comprobaciones de autorización necesarias para usuarios autenticados, lo que permite la divulgación de información del sistema. Esta vulnerabilidad tiene un bajo impacto en la confidencialidad y no afecta a la integridad ni a la disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-24316)
Fecha de publicación:
10/03/2026
Idioma:
Español
SAP NetWeaver Servidor de aplicaciones para ABAP proporciona un informe ABAP para fines de prueba, que permite enviar peticiones HTTP a puntos finales internos o externos arbitrarios. El informe es, por lo tanto, vulnerable a Falsificación de petición del lado del servidor (SSRF). La explotación exitosa podría conducir a interacción con puntos finales internos potencialmente sensibles, lo que resulta en un bajo impacto en la confidencialidad e integridad de los datos. No hay impacto en la disponibilidad de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-24309)
Fecha de publicación:
10/03/2026
Idioma:
Español
Debido a la falta de verificación de autorización en SAP NetWeaver Servidor de aplicaciones para ABAP, un atacante autenticado podría ejecutar un módulo de función ABAP específico para leer, modificar o insertar entradas en la tabla de configuración de la base de datos del sistema ABAP. Este cambio de contenido no autorizado podría provocar una reducción del rendimiento del sistema o interrupciones. La vulnerabilidad tiene bajo impacto en la integridad y disponibilidad de la aplicación, sin efecto en la confidencialidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en Booktics – Booking Calendar for Appointments and Service Businesses de arraytics (CVE-2026-1920)
Fecha de publicación:
10/03/2026
Idioma:
Español
El plugin Booking Calendar para Appointments and Service Businesses – Booktics para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función 'Extension_Controller::update_item_permissions_check' en todas las versiones hasta la 1.0.16, inclusive. Esto hace posible que atacantes no autenticados instalen plugins adicionales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en Booktics – Booking Calendar for Appointments and Service Businesses de arraytics (CVE-2026-1919)
Fecha de publicación:
10/03/2026
Idioma:
Español
El plugin Booking Calendar para Appointments and Service Businesses – Booktics para WordPress es vulnerable al acceso no autorizado de datos debido a una falta de verificación de capacidad en múltiples endpoints de la API REST en todas las versiones hasta la 1.0.16, inclusive. Esto permite a atacantes no autenticados consultar datos sensibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en Court Reservation (CVE-2026-1508)
Fecha de publicación:
10/03/2026
Idioma:
Español
El plugin de WordPress Court Reservation anterior a 1.10.9 no tiene una verificación CSRF implementada al eliminar eventos, lo que podría permitir a los atacantes hacer que un administrador con sesión iniciada los elimine a través de un ataque CSRF.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Tutor LMS Pro de themeum (CVE-2026-0953)
Fecha de publicación:
10/03/2026
Idioma:
Español
El plugin Tutor LMS Pro para WordPress es vulnerable a una omisión de autenticación en todas las versiones hasta la 3.9.5, inclusive, a través del complemento Social Login. Esto se debe a que el plugin no verifica que el correo electrónico proporcionado en la solicitud de autenticación coincida con el correo electrónico del token OAuth validado. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente, incluidos los administradores, al proporcionar un token OAuth válido de su propia cuenta junto con la dirección de correo electrónico de la víctima.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2026
Suscribirse a Vulnerabilidades