Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Snapdragon de Qualcomm, Inc. (CVE-2025-47376)
Fecha de publicación:
02/03/2026
Idioma:
Español
Corrupción de memoria cuando el acceso concurrente a un búfer compartido ocurre durante llamadas IOCTL.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en Snapdragon de Qualcomm, Inc. (CVE-2025-47371)
Fecha de publicación:
02/03/2026
Idioma:
Español
DoS transitorio cuando un paquete LTE RLC con TB inválido es recibido por el UE.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2026

Vulnerabilidad en Snapdragon de Qualcomm, Inc. (CVE-2025-47373)
Fecha de publicación:
02/03/2026
Idioma:
Español
Corrupción de memoria al acceder a búferes con longitud inválida durante la invocación de TA.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en sourcecodester Personnel Property Equipment System (CVE-2026-26699)
Fecha de publicación:
02/03/2026
Idioma:
Español
sourcecodester Personnel Property Equipment System v1.0 es vulnerable a ejecución de código arbitrario en ip/ppes/admin/admin_change_picture.PHP.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en sourcecodester Personnel Property Equipment System (CVE-2026-26701)
Fecha de publicación:
02/03/2026
Idioma:
Español
sourcecodester Personnel Property Equipment System v1.0 es vulnerable a inyección SQL en /ppes/admin/edit_tecnical_user.PHP.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2026

Vulnerabilidad en Twenty CRM (CVE-2026-26720)
Fecha de publicación:
02/03/2026
Idioma:
Español
Un problema en Twenty CRM v1.15.0 y versiones anteriores permite a un atacante remoto ejecutar código arbitrario a través del módulo local.driver.ts.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/03/2026

Vulnerabilidad en textream de f (CVE-2026-28403)
Fecha de publicación:
02/03/2026
Idioma:
Español
Textream es una aplicación de teleprónter gratuita para macOS. Antes de la versión 1.5.1, el servidor WebSocket 'DirectorServer' (ws://127.0.0.1:) acepta conexiones de cualquier origen sin validar la cabecera HTTP 'Origin' durante el handshake de WebSocket. Una página web maliciosa visitada en la misma sesión del navegador puede conectarse silenciosamente al servidor WebSocket local y enviar cargas útiles 'DirectorCommand' arbitrarias, permitiendo el control remoto total del contenido del teleprónter. La versión 1.5.1 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2026

Vulnerabilidad en textream de f (CVE-2026-28412)
Fecha de publicación:
02/03/2026
Idioma:
Español
Textream es una aplicación de teleprómpter gratuita para macOS. Antes de la versión 1.5.1, el servidor WebSocket 'DirectorServer' no impone límite en las conexiones concurrentes. Combinado con un temporizador de difusión que envía el estado a todos los clientes conectados cada 100 ms, un atacante puede agotar la CPU y la memoria inundando el servidor con conexiones, causando que la aplicación Textream se congele y falle durante una sesión en vivo. La versión 1.5.1 soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2026

Vulnerabilidad en Tenda (CVE-2026-24101)
Fecha de publicación:
02/03/2026
Idioma:
Español
Se descubrió un problema en goform/formSetIptv en Tenda AC15V1.0 V15.03.05.18_multi. Cuando se cumple la condición, 's1_1' se pasará a sub_B0488, concatenado en 'doSystemCmd'. El valor de s1_1 no se valida, lo que podría conducir a una vulnerabilidad de inyección de comandos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2026

Vulnerabilidad en Tenda (CVE-2026-24110)
Fecha de publicación:
02/03/2026
Idioma:
Español
Se descubrió un problema en Tenda W20E V4.0br_V15.11.0.6. Los atacantes pueden enviar datos 'addDhcpRules' excesivamente largos. Cuando estas reglas entran en la función 'addDhcpRule' y son procesadas por 'ret = sscanf(pRule, " %d\t%[^\t]\t%[^\n\r\t]", &dhcpsIndex, dhcpsIP, dhcpsMac);', la falta de validación del tamaño de las reglas podría provocar desbordamientos de búfer en 'dhcpsIndex', 'dhcpsIP' y 'dhcpsMac'.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2026

Vulnerabilidad en Tenda (CVE-2026-24112)
Fecha de publicación:
02/03/2026
Idioma:
Español
Se descubrió un problema en Tenda W20E V4.0br_V15.11.0.6. Los atacantes pueden explotar la vulnerabilidad al especificar el valor de 'userInfo'. Cuando 'userInfo' se pasa a la función 'addWewifiWhiteUser' y es procesado por 'sscanf' sin validación de tamaño, podría conducir a una vulnerabilidad de desbordamiento de búfer.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2026

Vulnerabilidad en chamilo-lms de chamilo (CVE-2025-52998)
Fecha de publicación:
02/03/2026
Idioma:
Español
Chamilo es un sistema de gestión del aprendizaje. Antes de la versión 1.11.30, en la aplicación, se realiza la deserialización de datos, los datos pueden ser falsificados. Un atacante puede crear objetos de clases arbitrarias, así como controlar completamente sus propiedades, y así modificar la lógica del funcionamiento de la aplicación web. Este problema ha sido parcheado en la versión 1.11.30.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/03/2026
Suscribirse a Vulnerabilidades