Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Court Reservation (CVE-2026-1508)
Fecha de publicación:
10/03/2026
Idioma:
Español
El plugin de WordPress Court Reservation anterior a 1.10.9 no tiene una verificación CSRF implementada al eliminar eventos, lo que podría permitir a los atacantes hacer que un administrador con sesión iniciada los elimine a través de un ataque CSRF.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Tutor LMS Pro de themeum (CVE-2026-0953)
Fecha de publicación:
10/03/2026
Idioma:
Español
El plugin Tutor LMS Pro para WordPress es vulnerable a una omisión de autenticación en todas las versiones hasta la 3.9.5, inclusive, a través del complemento Social Login. Esto se debe a que el plugin no verifica que el correo electrónico proporcionado en la solicitud de autenticación coincida con el correo electrónico del token OAuth validado. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente, incluidos los administradores, al proporcionar un token OAuth válido de su propia cuenta junto con la dirección de correo electrónico de la víctima.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2026

Vulnerabilidad en SAP Business One (Job Service) (CVE-2026-0489)
Fecha de publicación:
10/03/2026
Idioma:
Español
Debido a la validación insuficiente de la entrada controlada por el usuario en el parámetro de consulta de las URL. SAP Business One Job Service podría permitir a un atacante no autenticado inyectar una entrada especialmente diseñada que, tras la interacción del usuario, podría resultar en una vulnerabilidad de cross-site scripting (XSS) basada en DOM. Este problema tuvo un bajo impacto en la confidencialidad e integridad de la aplicación, sin impacto en la disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en InfoSphere Data Architect de IBM (CVE-2025-36173)
Fecha de publicación:
10/03/2026
Idioma:
Español
Producto(s) Afectado(s)<br /> Versión(es)<br /> InfoSphere Data Architect<br /> 9.2.1
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2026

Vulnerabilidad en Planning Analytics Advanced Certified Containers de IBM (CVE-2025-36105)
Fecha de publicación:
10/03/2026
Idioma:
Español
IBM Planning Analytics Advanced Certified Containers 3.1.0 a través de 3.1.4 podría permitir a un usuario local privilegiado obtener información sensible de las variables de entorno.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2026

Vulnerabilidad en Mitsubishi Electric Corporation (CVE-2025-2399)
Fecha de publicación:
10/03/2026
Idioma:
Español
Vulnerabilidad de validación incorrecta de índice, posición o desplazamiento especificados en la entrada en Mitsubishi Electric CNC Serie M800V M800VW y M800VS, Serie M80V M80V y M80VW, Serie M800 M800W y M800S, Serie M80 M80 y M80W, Serie E80 E80, Serie C80 C80, Serie M700V M750VW, M720VW, 730VW, M720VS, M730VS, y M750VS, Serie M70V M70V, Serie E70 E70, y Herramientas de software NC Trainer2 y NC Trainer2 plus permite a un atacante remoto causar una lectura fuera de límites, lo que resulta en una condición de denegación de servicio al enviar paquetes especialmente diseñados al puerto TCP 683.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Pentaho Data Integration and Analytics de Hitachi Vantara (CVE-2025-11158)
Fecha de publicación:
10/03/2026
Idioma:
Español
Las versiones de Hitachi Vantara Pentaho Data Integration &amp;amp; Analytics anteriores a la 10.2.0.6, incluidas la 9.3.x y la 8.3.x, no restringen los scripts Groovy en los nuevos informes PRPT publicados por los usuarios, lo que permite la inserción de scripts arbitrarios y conduce a una RCE.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/05/2026

Vulnerabilidad en node-tar de isaacs (CVE-2026-31802)
Fecha de publicación:
10/03/2026
Idioma:
Español
node-tar es una implementación completa de Tar para Node.js. Antes de la versión 7.5.11, tar (npm) puede ser engañado para crear un enlace simbólico que apunta fuera del directorio de extracción utilizando un destino de enlace simbólico relativo a la unidad, como C:../../../target.txt, lo que permite la sobrescritura de archivos fuera del directorio de trabajo actual (cwd) durante la extracción normal de tar.x(). Esta vulnerabilidad está corregida en la versión 7.5.11.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en ImageMagick (CVE-2026-30935)
Fecha de publicación:
10/03/2026
Idioma:
Español
ImageMagick es un software gratuito y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-16, BilateralBlurImage contiene una lectura excesiva del búfer de pila causada por una conversión incorrecta. Al procesar una imagen manipulada con la operación -bilateral-blur, puede ocurrir una lectura fuera de límites. Esta vulnerabilidad está corregida en 7.1.2-16.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en ImageMagick (CVE-2026-30936)
Fecha de publicación:
10/03/2026
Idioma:
Español
ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-16 y 6.9.13-41, una imagen manipulada podría causar una escritura fuera de límites en el heap dentro del método WaveletDenoiseImage. Al procesar una imagen manipulada con la operación -wavelet-denoise, puede ocurrir una escritura fuera de límites. Esta vulnerabilidad está corregida en 7.1.2-16 y 6.9.13-41.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2026

Vulnerabilidad en ImageMagick (CVE-2026-30931)
Fecha de publicación:
10/03/2026
Idioma:
Español
ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-16, un desbordamiento de búfer basado en montículo en el codificador UHDR puede ocurrir debido a la truncación de un valor y permitiría una escritura fuera de límites. Esta vulnerabilidad está corregida en 7.1.2-16.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2026

Vulnerabilidad en ImageMagick (CVE-2026-30929)
Fecha de publicación:
10/03/2026
Idioma:
Español
ImageMagick es un software gratuito y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-16 y 6.9.13-41, MagnifyImage utiliza un búfer de pila de tamaño fijo. Al usar una imagen específica, es posible desbordar este búfer y corromper la pila. Esta vulnerabilidad está corregida en 7.1.2-16 y 6.9.13-41.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2026
Suscribirse a Vulnerabilidades