Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-27688)
Fecha de publicación:
10/03/2026
Idioma:
Español
Debido a la ausencia de una verificación de autorización en SAP NetWeaver Servidor de aplicaciones para ABAP, un atacante autenticado con privilegios de usuario podría leer Archivos de registro del Analizador de base de datos a través de un módulo de función RFC específico. El atacante con los privilegios necesarios para ejecutar este módulo de función podría potencialmente escalar sus privilegios y leer los datos sensibles, lo que resulta en un impacto limitado en la confidencialidad de la información almacenada. Sin embargo, la integridad y disponibilidad del sistema no se ven afectadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP Supply Chain Management (CVE-2026-27689)
Fecha de publicación:
10/03/2026
Idioma:
Español
Debido a una vulnerabilidad de consumo de recursos no controlado (denegación de servicio), un atacante autenticado con privilegios de usuario regular y acceso a la red puede invocar repetidamente un módulo de función habilitado remotamente con un parámetro de control de bucle excesivamente grande. Esto desencadena una ejecución de bucle prolongada que consume recursos excesivos del sistema, lo que podría dejar el sistema no disponible. La explotación exitosa resulta en una condición de denegación de servicio que afecta la disponibilidad, mientras que la confidencialidad y la integridad permanecen inafectadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2026

Vulnerabilidad en SAP NetWeaver (Feedback Notification) (CVE-2026-27684)
Fecha de publicación:
10/03/2026
Idioma:
Español
SAP NetWeaver Feedback Notifications Service contiene una vulnerabilidad de inyección SQL que permite a un atacante autenticado inyectar código SQL arbitrario a través de campos de entrada controlados por el usuario. La aplicación concatena estas entradas directamente en consultas SQL sin una validación o escape adecuados. Como resultado, un atacante puede manipular la lógica de la cláusula WHERE y potencialmente obtener acceso no autorizado o modificar información de la base de datos. Esta vulnerabilidad no tiene impacto en la integridad y bajo impacto en la confidencialidad y disponibilidad de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP NetWeaver Enterprise Portal Administration (CVE-2026-27685)
Fecha de publicación:
10/03/2026
Idioma:
Español
La Administración de SAP NetWeaver Enterprise Portal es vulnerable si un usuario privilegiado carga contenido no confiable o malicioso que, al deserializarse, podría resultar en un alto impacto en la confidencialidad, integridad y disponibilidad del sistema anfitrión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/03/2026

Vulnerabilidad en SAP GUI para Windows with active GuiXT (CVE-2026-24317)
Fecha de publicación:
10/03/2026
Idioma:
Español
SAP GUI para Windows permite que los archivos DLL se carguen desde directorios arbitrarios dentro de la aplicación. Un atacante no autenticado podría explotar esta vulnerabilidad persuadiendo a una víctima para que coloque un DLL malicioso dentro de uno de estos directorios. El comando malicioso se ejecuta en el contexto del usuario víctima siempre que GuiXT esté habilitado. Esta vulnerabilidad tiene un bajo impacto en la confidencialidad, integridad y disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-24310)
Fecha de publicación:
10/03/2026
Idioma:
Español
Debido a la falta de verificación de autorización en el Servidor de aplicaciones SAP NetWeaver para ABAP, un atacante autenticado podría ejecutar un módulo de función ABAP específico y leer información sensible del catálogo de la base de datos del sistema ABAP. Esta vulnerabilidad tiene un bajo impacto en la confidencialidad de la aplicación, sin efecto en la integridad y disponibilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2026

Vulnerabilidad en SAP Customer Checkout 2.0 (CVE-2026-24311)
Fecha de publicación:
10/03/2026
Idioma:
Español
La aplicación SAP Customer Checkout presenta ciertas características de diseño que implican el almacenamiento local de datos operativos utilizando mecanismos de protección reversibles. El acceso a estos datos, combinado con la interacción iniciada por el usuario, puede permitir que se produzcan modificaciones sin validación. Dichos cambios podrían afectar el comportamiento del sistema durante el inicio, lo que resultaría en un alto impacto en la confidencialidad e integridad de la aplicación, con un bajo impacto en la disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP Solution Tools Plug-In (ST-PI) (CVE-2026-24313)
Fecha de publicación:
10/03/2026
Idioma:
Español
SAP Solution Tools Plug-In (ST-PI) contiene un módulo de función que no realiza las comprobaciones de autorización necesarias para usuarios autenticados, lo que permite la divulgación de información del sistema. Esta vulnerabilidad tiene un bajo impacto en la confidencialidad y no afecta a la integridad ni a la disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-24316)
Fecha de publicación:
10/03/2026
Idioma:
Español
SAP NetWeaver Servidor de aplicaciones para ABAP proporciona un informe ABAP para fines de prueba, que permite enviar peticiones HTTP a puntos finales internos o externos arbitrarios. El informe es, por lo tanto, vulnerable a Falsificación de petición del lado del servidor (SSRF). La explotación exitosa podría conducir a interacción con puntos finales internos potencialmente sensibles, lo que resulta en un bajo impacto en la confidencialidad e integridad de los datos. No hay impacto en la disponibilidad de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-24309)
Fecha de publicación:
10/03/2026
Idioma:
Español
Debido a la falta de verificación de autorización en SAP NetWeaver Servidor de aplicaciones para ABAP, un atacante autenticado podría ejecutar un módulo de función ABAP específico para leer, modificar o insertar entradas en la tabla de configuración de la base de datos del sistema ABAP. Este cambio de contenido no autorizado podría provocar una reducción del rendimiento del sistema o interrupciones. La vulnerabilidad tiene bajo impacto en la integridad y disponibilidad de la aplicación, sin efecto en la confidencialidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en Booktics – Booking Calendar for Appointments and Service Businesses de arraytics (CVE-2026-1920)
Fecha de publicación:
10/03/2026
Idioma:
Español
El plugin Booking Calendar para Appointments and Service Businesses – Booktics para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función 'Extension_Controller::update_item_permissions_check' en todas las versiones hasta la 1.0.16, inclusive. Esto hace posible que atacantes no autenticados instalen plugins adicionales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026

Vulnerabilidad en Booktics – Booking Calendar for Appointments and Service Businesses de arraytics (CVE-2026-1919)
Fecha de publicación:
10/03/2026
Idioma:
Español
El plugin Booking Calendar para Appointments and Service Businesses – Booktics para WordPress es vulnerable al acceso no autorizado de datos debido a una falta de verificación de capacidad en múltiples endpoints de la API REST en todas las versiones hasta la 1.0.16, inclusive. Esto permite a atacantes no autenticados consultar datos sensibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2026
Suscribirse a Vulnerabilidades