Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en openemr (CVE-2026-33912)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto de registros de salud electrónicos y gestión de prácticas médicas. Antes de la versión 8.0.0.3, un atacante autenticado podría crear un formulario malicioso que, al ser enviado por una víctima, ejecuta JavaScript arbitrario en la sesión del navegador de la víctima. La versión 8.0.0.3 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en OpenEMR (CVE-2026-33913)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para la gestión de historias clínicas electrónicas y consultas médicas. Antes de la versión 8.0.0.3, un usuario autenticado con acceso al módulo Carecoordination podía cargar un documento CCDA manipulado que contuviera `` para leer archivos arbitrarios del servidor. La versión 8.0.0.3 corrige este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en openemr (CVE-2026-33909)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para la gestión de registros médicos electrónicos y la práctica médica. Antes de la versión 8.0.0.3, varias variables en el código de procesamiento de recordatorios/recuperación de MedEx se concatenan directamente en consultas SQL sin parametrización ni conversión de tipos, lo que permite la inyección SQL. La versión 8.0.0.3 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

Vulnerabilidad en Sales and Inventory System de SourceCodester (CVE-2026-4825)
Fecha de publicación:
25/03/2026
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Sales and Inventory System 1.0. Esto afecta una parte desconocida del archivo /update_sales.php del componente Gestor de Parámetros GET HTTP. La manipulación del argumento sid resulta en inyección SQL. El ataque puede lanzarse de forma remota. El exploit se ha hecho público y podría utilizarse.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en openemr (CVE-2026-29187)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de registros de salud electrónicos y práctica médica de código abierto y gratuita. Antes de la versión 8.0.0.3, existe una vulnerabilidad de inyección SQL ciega en la funcionalidad de Búsqueda de Pacientes (/interface/new/new_search_popup.php). La vulnerabilidad permite a un atacante autenticado ejecutar comandos SQL arbitrarios manipulando las claves de los parámetros HTTP en lugar de los valores. La versión 8.0.0.3 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en openemr (CVE-2026-33348)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de práctica médica y registros de salud electrónicos de código abierto y gratuita. Los usuarios con el rol 'Notes - my encounters' pueden completar formularios de Examen Ocular en los encuentros con pacientes. Las respuestas del formulario se muestran en la página del encuentro y en el historial de visitas para los usuarios con el mismo rol. Las versiones anteriores a la 8.0.0.3 tienen una vulnerabilidad de cross-site scripting (XSS) almacenado en la función para mostrar las respuestas del formulario, permitiendo a cualquier atacante autenticado con el rol específico insertar JavaScript arbitrario en el sistema introduciendo cargas útiles maliciosas en las respuestas del formulario. El código JavaScript es ejecutado posteriormente por cualquier usuario con el rol del formulario al ver las respuestas del formulario en las páginas de encuentro con el paciente o en el historial de visitas. La versión 8.0.0.3 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en OpenEMR (CVE-2026-32120)
Fecha de publicación:
25/03/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para la gestión de historias clínicas electrónicas y consultas médicas. Antes de la versión 8.0.0.3, una vulnerabilidad de referencia directa a objetos insegura (IDOR) en la lógica de guardado del producto «hoja de tarifas» (`library/FeeSheet.class.php`) permite a cualquier usuario autenticado con acceso ACL a la hoja de tarifas eliminar, modificar o leer registros `drug_sales` pertenecientes a pacientes arbitrarios mediante la manipulación del campo oculto del formulario `prod[][sale_id]`. El método `save()` utiliza el `sale_id` proporcionado por el usuario en cinco consultas SQL (SELECT, UPDATE, DELETE) sin verificar que el registro pertenezca al paciente y a la consulta actuales. La versión 8.0.0.3 contiene un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2026

CVE-2025-2535
Fecha de publicación:
25/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
25/03/2026

Vulnerabilidad en Knowledge Catalog Standard Cartridge de IBM (CVE-2025-36187)
Fecha de publicación:
25/03/2026
Idioma:
Español
IBM Knowledge Catalog Standard Cartridge 5.0.0, 5.0.1, 5.0.2, 5.0.3, 5.1, 5.1.1, 5,1.2, 5.1.3, 5.2.0, 5.2.1 almacena información potencialmente sensible en archivos de registro que podría ser leída por un usuario privilegiado local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026

Vulnerabilidad en Iperius Backup de Enter Software (CVE-2026-4823)
Fecha de publicación:
25/03/2026
Idioma:
Español
Se ha encontrado una falla en Enter Software Iperius Backup hasta la versión 8.7.3. Afectada por esta vulnerabilidad es una funcionalidad desconocida del componente Gestor NTLM2. La ejecución de una manipulación puede llevar a la revelación de información. El ataque está restringido a la ejecución local. Los ataques de esta naturaleza son altamente complejos. La explotación parece ser difícil. El exploit ha sido publicado y puede ser utilizado. La actualización a la versión 8.7.4 soluciona este problema. Se aconseja actualizar el componente afectado. Se contactó al proveedor con antelación, respondió de manera muy profesional y rápidamente lanzó una versión corregida del producto afectado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Iperius Backup de Enter Software (CVE-2026-4824)
Fecha de publicación:
25/03/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Enter Software Iperius Backup hasta la versión 8.7.3. Afectada por este problema está alguna funcionalidad desconocida del componente Gestor de Archivos de Configuración de Tareas de Copia de Seguridad. La manipulación conduce a una gestión de privilegios inadecuada. El ataque debe ser llevado a cabo localmente. Se considera que el ataque tiene una complejidad alta. Se sabe que la explotación es difícil. El exploit ha sido divulgado al público y puede ser utilizado. Actualizar a la versión 8.7.4 puede resolver este problema. Es aconsejable actualizar el componente afectado. El proveedor fue contactado tempranamente, respondió de una manera muy profesional y rápidamente lanzó una versión corregida del producto afectado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en Maximo Application Suite - Monitor Component de IBM (CVE-2025-14684)
Fecha de publicación:
25/03/2026
Idioma:
Español
IBM Maximo Application Suite - Monitor Component 9.1, 9.0, 8.11 y 8.10 podría permitir a un usuario no autorizado inyectar datos en los mensajes de registro debido a una neutralización inadecuada de elementos especiales al escribirse en los archivos de registro.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2026
Suscribirse a Vulnerabilidades