Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Mattermost (CVE-2026-26304)
Fecha de publicación:
16/03/2026
Idioma:
Español
Las versiones de Mattermost 11.3.x <= 11.3.0, 11.2.x <= 11.2.2 no verifican el permiso run_create para un playbookId vacío, lo que permite a los miembros del equipo crear ejecuciones no autorizadas a través de la API de ejecución de playbooks. ID de Aviso de Mattermost: MMSA-2025-00542
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2026

Vulnerabilidad en chamilo-lms de chamilo (CVE-2026-28430)
Fecha de publicación:
16/03/2026
Idioma:
Español
Chamilo LMS es un sistema de gestión del aprendizaje. Antes de la versión 1.11.34, existe una vulnerabilidad de inyección SQL no autenticada que permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro custom_dates. Al encadenar esto con un mecanismo predecible de restablecimiento de contraseña heredado, un atacante puede lograr una toma de control completa de la cuenta administrativa sin credenciales previas. La vulnerabilidad también expone toda la base de datos, incluyendo PII y configuraciones del sistema. Este problema ha sido parcheado en la versión 1.11.34.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
17/03/2026

Vulnerabilidad en FFmpeg (CVE-2025-69693)
Fecha de publicación:
16/03/2026
Idioma:
Español
Lectura fuera de límites en el decodificador de video RV60 de FFmpeg 8.0 y 8.0.1 (libavcodec/rv60dec.c). La validación del parámetro de cuantificación (qp) en la línea 2267 solo verifica el límite inferior (qp < 0) pero carece de validación del límite superior. El valor de qp puede alcanzar 65 (valor base 63 del encabezado de trama de 6 bits + desplazamiento +2 de read_qp_offset) mientras que el array rv60_qp_to_idx tiene un tamaño de 64 (índices válidos 0-63). Esto resulta en acceso a array fuera de límites en las líneas 1554 (decode_cbp8), 1655 (decode_cbp16) y 1419/1421 (get_c4x4_set), lo que podría llevar a la divulgación de memoria o a un fallo. Una corrección anterior en el commit 61cbcaf93f añadió validación solo para fotogramas intra. Esta vulnerabilidad afecta a las versiones publicadas 8.0 (publicada el 22-08-2025) y 8.0.1 (publicada el 20-11-2025) y está corregida en el commit maestro de git 8abeb879df que se incluirá en FFmpeg 8.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en Forgejo (CVE-2025-68971)
Fecha de publicación:
16/03/2026
Idioma:
Español
En Forgejo hasta la versión 13.0.3, el componente de adjuntos permite una denegación de servicio al subir un archivo adjunto de varios gigabytes (por ejemplo, para asociarlo con una incidencia o una versión).
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2026

Vulnerabilidad en webhooks de craftcms (CVE-2026-32261)
Fecha de publicación:
16/03/2026
Idioma:
Español
El plugin Webhooks para Craft CMS añade la capacidad de gestionar 'webhooks' en Craft CMS, que enviará solicitudes GET o POST cuando ocurran ciertos eventos. Desde la versión 3.0.0 hasta antes de la versión 3.2.0, el plugin Webhooks renderiza contenido de plantilla proporcionado por el usuario a través de la función renderString() de Twig sin protección de sandbox. Esto permite a un usuario autenticado con acceso al panel de control de Craft y permisos para acceder al plugin Webhooks inyectar código de plantilla Twig que llama a funciones PHP arbitrarias. Esto es posible incluso si allowAdminChanges está configurado como false. Este problema ha sido parcheado en la versión 3.2.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/04/2026

Vulnerabilidad en fastmcp de jlowin (CVE-2025-69196)
Fecha de publicación:
16/03/2026
Idioma:
Español
FastMCP es el framework estándar para construir aplicaciones MCP. Antes de la versión 2.14.2, el servidor no respeta adecuadamente el parámetro de recurso enviado por el cliente en la solicitud de autorización y de token. En lugar de emitir el token explícitamente para el servidor MCP, el token se emite para la base_url pasada al OAuthProxy durante la inicialización. Este problema ha sido parcheado en 2.14.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en 0xZeroSec (CVE-2025-69727)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una vulnerabilidad de control de acceso incorrecto existe en INDEX-EDUCATION PRONOTE anterior a 2025.2.8. Los componentes afectados (index.js y composeUrlImgPhotoIndividu) permiten la construcción de URL directas a imágenes de perfil de usuario basándose únicamente en identificadores predecibles como ID de usuario y nombres. Debido a la falta de comprobaciones de autorización y la ausencia de limitación de velocidad al generar o acceder a estas URL, un actor no autenticado o no autorizado puede recuperar imágenes de perfil de usuarios elaborando solicitudes con identificadores adivinados o conocidos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2026

Vulnerabilidad en Bareiron (CVE-2025-69808)
Fecha de publicación:
16/03/2026
Idioma:
Español
Un acceso a memoria fuera de límites (OOB) en p2r3 Bareiron commit 8e4d40 permite a atacantes no autenticados acceder a información sensible y causar una denegación de servicio (DoS) mediante el suministro de un paquete manipulado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/04/2026

Vulnerabilidad en bareiron (CVE-2025-69809)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una condición de escritura-qué-dónde en el commit 8e4d40 de p2r3 Bareiron permite a atacantes no autenticados escribir valores arbitrarios en la memoria, lo que posibilita la ejecución de código arbitrario mediante un paquete manipulado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/04/2026

Vulnerabilidad en Bedrock AgentCore Starter Toolkit de AWS (CVE-2026-4269)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una verificación de propiedad de S3 faltante en el Kit de Inicio Bedrock AgentCore antes de la versión v0.1.13 puede permitir a un actor remoto inyectar código durante el proceso de compilación, lo que lleva a la ejecución de código en el tiempo de ejecución de AgentCore. Este problema solo afecta a los usuarios del Kit de Inicio Bedrock AgentCore antes de la versión v0.1.13 que compilan o han compilado el Kit después del 24 de septiembre de 2025. Cualquier usuario en una versión >=v0.1.13, y cualquier usuario en versiones anteriores que compiló el kit antes del 24 de septiembre de 2025, no se ve afectado. Para remediar este problema, los clientes deben actualizar a la versión v0.1.13.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/05/2026

Vulnerabilidad en AC8 de Tenda (CVE-2026-4253)
Fecha de publicación:
16/03/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en Tenda AC8 16.03.50.11. Esto afecta a la función route_set_user_policy_rule del archivo /cgi-bin/UploadCfg del componente Interfaz Web. La manipulación del argumento wans.policy.list1 resulta en inyección de comandos del sistema operativo. Es posible lanzar el ataque de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en AC8 de Tenda (CVE-2026-4254)
Fecha de publicación:
16/03/2026
Idioma:
Español
Se ha identificado una debilidad en Tenda AC8 hasta la versión 16.03.50.11. Esta vulnerabilidad afecta a la función doSystemCmd del archivo /goform/SysToolChangePwd del componente Endpoint HTTP. Esta manipulación del argumento local_2c causa un desbordamiento de búfer basado en pila. El ataque puede iniciarse remotamente. El exploit se ha puesto a disposición del público y podría usarse para ataques.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026
Suscribirse a Vulnerabilidades