Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en FH451 de Tenda (CVE-2026-3679)
Fecha de publicación:
07/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en Tenda FH451 1.0.0.9. Afectada por esta vulnerabilidad es la función formQuickIndex del archivo /goform/QuickIndex. Tal manipulación del argumento mit_linktype/PPPOEPassword conduce a un desbordamiento de búfer basado en pila. Es posible lanzar el ataque de forma remota. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en biome-mcp-server de RyuzakiShinji (CVE-2026-3680)
Fecha de publicación:
07/03/2026
Idioma:
Español
Una falla de seguridad ha sido descubierta en RyuzakiShinji biome-mcp-server hasta 1.0.0. Afectada por este problema es alguna funcionalidad desconocida del archivo biome-mcp-server.ts. Realizar una manipulación resulta en inyección de comandos. El ataque puede ser iniciado remotamente. El exploit ha sido liberado al público y puede ser usado para ataques. El parche se llama 335e1727147efeef011f1ff8b05dd751d8a660be. Aplicar un parche es la acción recomendada para solucionar este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en FH451 de Tenda (CVE-2026-3678)
Fecha de publicación:
07/03/2026
Idioma:
Español
Una vulnerabilidad se determinó en Tenda FH451 1.0.0.9. Afecta a la función sub_3C434 del archivo /goform/AdvSetWan. Esta manipulación del argumento wanmode/PPPOEPassword causa desbordamiento de búfer basado en pila. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en FH451 de Tenda (CVE-2026-3677)
Fecha de publicación:
07/03/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en Tenda FH451 1.0.0.9. Esto afecta la función fromSetCfm del archivo /goform/setcfm. La manipulación del argumento funcname/funcpara1 resulta en desbordamiento de búfer basado en pila. El ataque puede ser realizado desde remoto. El exploit ha sido hecho público y podría ser usado.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en JeecgBoot (CVE-2026-3672)
Fecha de publicación:
07/03/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en JeecgBoot hasta 3.9.1. Afectada es la función isExistSqlInjectKeyword del archivo /jeecg-boot/sys/API/getDictItems. Dicha manipulación conduce a inyección SQL. El ataque puede ser realizado desde remoto. El exploit ha sido divulgado al público y puede ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en dGEN1 de Freedom Factory (CVE-2026-3674)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se encontró una vulnerabilidad en Freedom Factory dGEN1 hasta 20260221. Afectada por esta vulnerabilidad es la función FakeAppProvider del componente org.ethosmobile.ethoslauncher. Realizar una manipulación resulta en autorización indebida. El ataque debe ser iniciado desde una posición local. El exploit ha sido hecho público y podría ser usado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en dGEN1 de Freedom Factory (CVE-2026-3675)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se determinó una vulnerabilidad en Freedom Factory dGEN1 hasta 20260221. Afectada por este problema es la función FakeAppReceiver del componente org.ethosmobile.ethoslauncher. Ejecutar una manipulación puede llevar a una autorización indebida. El ataque necesita ser lanzado localmente. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en dGEN1 de Freedom Factory (CVE-2026-3671)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se ha encontrado una falla en Freedom Factory dGEN1 hasta 20260221. Afectada por esta vulnerabilidad está la función TokenBalanceContentProvider del componente org.ethereumphone.walletmanager.testing123. Ejecutar una manipulación puede llevar a una autorización indebida. El ataque requiere acceso local. El exploit ha sido publicado y puede ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
22/04/2026

Vulnerabilidad en dGEN1 de Freedom Factory (CVE-2026-3670)
Fecha de publicación:
07/03/2026
Idioma:
Español
Una vulnerabilidad fue detectada en Freedom Factory dGEN1 hasta 20260221. Afectada es una función desconocida del componente com.dgen.alarm. Realizar una manipulación resulta en autorización indebida. El ataque requiere un enfoque local. El exploit ahora es público y puede ser usado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en dGEN1 de Freedom Factory (CVE-2026-3669)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se ha detectado una vulnerabilidad de seguridad en Freedom Factory dGEN1 hasta 20260221. Esto afecta a la función AlarmService del componente com.dgen.alarm. Dicha manipulación conduce a una autorización indebida. El ataque debe realizarse localmente. El exploit ha sido divulgado públicamente y puede usarse. Se contactó con el proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Neurofeedback Headset de Mendi (CVE-2026-2671)
Fecha de publicación:
07/03/2026
Idioma:
Español
Se detectó una vulnerabilidad en el Mendi Neurofeedback Headset V4. Afectada por esta vulnerabilidad está una funcionalidad desconocida del componente Gestor de Bluetooth de Baja Energía. Realizar una manipulación resulta en la transmisión en texto claro de información sensible. El ataque solo puede realizarse desde la red local. La complejidad del ataque se califica como alta. La explotación parece ser difícil. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
22/04/2026

Vulnerabilidad en parse-server de parse-community (CVE-2026-30863)
Fecha de publicación:
07/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.10 y 9.5.0-alpha.11, los adaptadores de autenticación de Google, Apple y Facebook utilizan la verificación JWT para validar tokens de identidad. Cuando la opción de configuración de audiencia del adaptador no está establecida (clientId para Google/Apple, appIds para Facebook), la verificación JWT omite silenciosamente la validación de la declaración de audiencia. Esto permite a un atacante utilizar un JWT válidamente firmado emitido para una aplicación diferente para autenticarse como cualquier usuario en el Parse Server objetivo. Este problema ha sido parcheado en las versiones 8.6.10 y 9.5.0-alpha.11.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
10/03/2026
Suscribirse a Vulnerabilidades