Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Nil Hardware Editor Hardware Read & Write Utility (CVE-2025-66678)
Fecha de publicación:
04/03/2026
Idioma:
Español
Un problema en el componente HwRwDrv.sys de Nil Hardware Editor Hardware Read & Write Utility v1.25.11.26 y versiones anteriores permite a los atacantes ejecutar operaciones arbitrarias de lectura y escritura a través de una solicitud manipulada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en vran-dev databaseirv (CVE-2025-66944)
Fecha de publicación:
04/03/2026
Idioma:
Español
Vulnerabilidad de inyección SQL en vran-dev databaseir v.1.0.7 y anteriores permite a un atacante remoto ejecutar código arbitrario a través del parámetro query en el endpoint de la API de búsqueda.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en SRK Powertech Pvt Ltd Pebble Prism Ultra (CVE-2025-69969)
Fecha de publicación:
04/03/2026
Idioma:
Español
Una falta de mecanismos de autenticación y autorización en el protocolo de comunicación Bluetooth Low Energy (BLE) de SRK Powertech Pvt Ltd Pebble Prism Ultra v2.9.2 permite a los atacantes realizar ingeniería inversa del protocolo y ejecutar comandos arbitrarios en el dispositivo sin establecer una conexión. Esto es explotable a través de la proximidad Bluetooth Low Energy (BLE) (Adyacente), sin requerir contacto físico con el dispositivo. Además, la vulnerabilidad no se limita a comandos arbitrarios, sino que incluye la interceptación de datos en texto claro y el secuestro de firmware no autenticado a través de servicios OTA.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/03/2026

Vulnerabilidad en Plugins Docker Desktop Docker (CVE-2025-15558)
Fecha de publicación:
04/03/2026
Idioma:
Español
Docker CLI para Windows busca binarios de plugin en C:\ProgramData\Docker\cli-plugins, un directorio que no existe por defecto. Un atacante de bajo privilegio puede crear este directorio y colocar binarios de plugin CLI maliciosos (docker-compose.exe, docker-buildx.exe, etc.) que se ejecutan cuando un usuario víctima abre Docker Desktop o invoca funciones de plugin de Docker CLI, y permiten la escalada de privilegios si el Docker CLI se ejecuta como un usuario privilegiado.<br /> <br /> Este problema afecta a Docker CLI: hasta la versión 29.1.5 y a los binarios de Windows que actúan como un gestor de plugin CLI utilizando el paquete github.com/docker/cli/cli-plugins/manager https://pkg.go.dev/github.com/docker/cli@v29.1.5+incompatible/cli-plugins/manager, como Docker Compose.<br /> <br /> Este problema no tiene impacto en los binarios que no son de Windows, ni en los proyectos que no utilizan el código del gestor de plugins.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en Device Management Agent (DDMA) de Dell (CVE-2026-22285)
Fecha de publicación:
04/03/2026
Idioma:
Español
Dell Device Management Agent (DDMA), versiones anteriores a la 26.02, contienen una vulnerabilidad de almacenamiento de contraseña en texto plano. Un atacante con altos privilegios y acceso local podría potencialmente explotar esta vulnerabilidad, lo que llevaría a un acceso no autorizado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en altavoz inteligente Mobvoi Tichome Mini (CVE-2026-26478)
Fecha de publicación:
04/03/2026
Idioma:
Español
Una vulnerabilidad de inyección de comandos de shell en el altavoz inteligente Mobvoi Tichome Mini 012-18853 y 027-58389 permite a atacantes remotos enviar un datagrama UDP especialmente diseñado y ejecutar código de shell arbitrario como la cuenta root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/03/2026

Vulnerabilidad en bird-lg-go (CVE-2026-26514)
Fecha de publicación:
04/03/2026
Idioma:
Español
Una vulnerabilidad de inyección de argumentos existe en bird-lg-go antes del commit 6187a4e. El módulo traceroute utiliza shlex.Split para analizar la entrada del usuario sin validación, permitiendo a atacantes remotos inyectar banderas arbitrarias (p. ej., -w, -q) a través del parámetro q. Esto puede ser explotado para causar una denegación de servicio (DoS) agotando los recursos del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2026

Vulnerabilidad en DJI Mavic Mini, Spark, Mavic Air, Mini, Mini SE (CVE-2026-26673)
Fecha de publicación:
04/03/2026
Idioma:
Español
Un problema en DJI Mavic Mini, Spark, Mavic Air, Mini, Mini SE 0.1.00.0500 y versiones anteriores permite a un atacante remoto causar una denegación de servicio a través del subsistema de transmisión DJI Enhanced-WiFi.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2026

Vulnerabilidad en 2N Access Commander de 2N Telekomunikace a.s. (CVE-2025-59784)
Fecha de publicación:
04/03/2026
Idioma:
Español
2N Access Commander versión 3.4.1 y anteriores es vulnerable a la contaminación de registros. Ciertos parámetros enviados a través de la API pueden ser incluidos en los registros sin validación o saneamiento previo. Esta vulnerabilidad solo puede ser explotada después de autenticarse con privilegios de administrador.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en 2N Access Commander de 2N Telekomunikace a.s. (CVE-2025-59785)
Fecha de publicación:
04/03/2026
Idioma:
Español
Validación incorrecta del punto final de la API en 2N Access Commander versión 3.4.2 y anteriores permite al atacante eludir la política de contraseñas para el cifrado de archivos de copia de seguridad. Esta vulnerabilidad solo puede ser explotada después de autenticarse con privilegios de administrador.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en 2N Access Commander de 2N Telekomunikace a.s. (CVE-2025-59786)
Fecha de publicación:
04/03/2026
Idioma:
Español
2N Access Commander versión 3.4.2 y anteriores invalida incorrectamente los tokens de sesión, permitiendo que múltiples cookies de sesión permanezcan activas después del cierre de sesión en la aplicación web.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en 2N Access Commander de 2N Telekomunikace a.s. (CVE-2025-59787)
Fecha de publicación:
04/03/2026
Idioma:
Español
La aplicación 2N Access Commander versión 3.4.2 y anteriores devuelve respuestas de error interno del servidor HTTP 500 al recibir solicitudes malformadas o manipuladas, lo que indica un manejo inadecuado de entrada inválida y posibles impactos en la seguridad o disponibilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/03/2026
Suscribirse a Vulnerabilidades