Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en VMware (CVE-2026-22720)
Fecha de publicación:
25/02/2026
Idioma:
Español
VMware Aria Operations contiene una vulnerabilidad de cross-site scripting almacenada. Un actor malicioso con privilegios para crear puntos de referencia personalizados podría inyectar scripts para realizar acciones administrativas en VMware Aria Operations. Para remediar CVE-2026-22720, aplique los parches enumerados en la columna 'Fixed Version' de la 'Response Matrix' de VMSA-2026-0001 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947https:// .
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en Rucio (CVE-2026-25733)
Fecha de publicación:
25/02/2026
Idioma:
Español
Rucio es un framework de software que proporciona funcionalidad para organizar, gestionar y acceder a grandes volúmenes de datos científicos utilizando políticas personalizables. Las versiones anteriores a la 35.8.3, 38.5.4 y 39.3.1 tienen una vulnerabilidad de cross-site scripting (XSS) almacenado en la función de Reglas Personalizadas de la WebUI donde la entrada controlada por el atacante es persistida por el backend y luego renderizada en la WebUI sin una codificación de salida adecuada. Esto permite la ejecución arbitraria de JavaScript en el contexto de la WebUI para los usuarios que ven las páginas afectadas, lo que podría permitir el robo de tokens de sesión o acciones no autorizadas. Las versiones 35.8.3, 38.5.4 y 39.3.1 solucionan el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en Rucio (CVE-2026-25734)
Fecha de publicación:
25/02/2026
Idioma:
Español
Rucio es un framework de software que proporciona funcionalidad para organizar, gestionar y acceder a grandes volúmenes de datos científicos utilizando políticas personalizables. Las versiones anteriores a la 35.8.3, 38.5.4 y 39.3.1 tienen una vulnerabilidad de cross-site scripting (XSS) almacenado en los metadatos RSE de la WebUI, donde la entrada controlada por el atacante es persistida por el backend y posteriormente renderizada en la WebUI sin una codificación de salida adecuada. Esto permite la ejecución arbitraria de JavaScript en el contexto de la WebUI para los usuarios que ven las páginas afectadas, lo que podría permitir el robo de tokens de sesión o acciones no autorizadas. Las versiones 35.8.3, 38.5.4 y 39.3.1 solucionan el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en VMware (CVE-2026-22719)
Fecha de publicación:
25/02/2026
Idioma:
Español
VMware Aria Operations contiene una vulnerabilidad de inyección de comandos. Un actor malicioso no autenticado puede explotar este problema para ejecutar comandos arbitrarios, lo que puede conducir a la ejecución remota de código en VMware Aria Operations mientras la migración del producto asistida por soporte está en curso.<br /> <br /> Para remediar CVE-2026-22719, aplique los parches enumerados en la columna &amp;#39;Fixed Version&amp;#39; de la &amp;#39; Response Matrix https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947 &amp;#39; en VMSA-2026-0001<br /> <br /> Las soluciones alternativas para CVE-2026-22719 están documentadas en la columna &amp;#39;Workarounds&amp;#39; de la &amp;#39; Response Matrix https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947 &amp;#39; en VMSA-2026-0001
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2026

Vulnerabilidad en GitLab (CVE-2025-3525)
Fecha de publicación:
25/02/2026
Idioma:
Español
GitLab ha remediado un problema en GitLab CE/EE que afectaba a todas las versiones desde la 9.0 anterior a la 18.7.5, la 18.8 anterior a la 18.8.5 y la 18.9 anterior a la 18.9.1 que podría haber permitido, bajo ciertas circunstancias, a un usuario autenticado con cierto acceso causar una denegación de servicio mediante la creación de disparadores CI especialmente diseñados a través de la API.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en GitLab (CVE-2025-14103)
Fecha de publicación:
25/02/2026
Idioma:
Español
GitLab ha subsanado un problema en GitLab CE/EE que afectaba a todas las versiones desde la 17.7 hasta las anteriores a la 18.7.5, la 18.8 hasta las anteriores a la 18.8.5, y la 18.9 hasta las anteriores a la 18.9.1, que podría haber permitido a un usuario no autorizado con permisos de rol de Desarrollador establecer variables de pipeline para trabajos activados manualmente bajo ciertas condiciones.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Devolutions Server (CVE-2026-3221)
Fecha de publicación:
25/02/2026
Idioma:
Español
Hay información sensible de cuentas de usuario que no está cifrada en la base de datos en Devolutions Server 2025.3.14 y versiones anteriores, lo que permite a un atacante con acceso a la base de datos obtener información sensible del usuario a través del acceso directo a la base de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/02/2026

Vulnerabilidad en OpenEMR (CVE-2026-25930)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto de registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, la vista imprimible del Formulario Basado en Diseño (LBF) acepta &amp;#39;formid&amp;#39; y &amp;#39;visitid&amp;#39; (o &amp;#39;patientid&amp;#39;) de la solicitud y no verifica que el formulario pertenezca al paciente/encuentro autorizado del usuario actual. Un usuario autenticado con acceso LBF puede enumerar IDs de formulario y ver o imprimir los formularios de encuentro de cualquier paciente. La versión 8.0.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en OpenEMR (CVE-2026-25476)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de registros de salud electrónicos y práctica médica de código abierto y gratuita. Antes de la versión 8.0.0, la verificación de expiración de la sesión en `library/auth.inc.php` se ejecuta solo cuando `skip_timeout_reset` no está presente en la solicitud. Cuando se envía `skip_timeout_reset=1`, se omite todo el bloque que llama a `SessionTracker::isSessionExpired()` y fuerza el cierre de sesión por tiempo de espera. Como resultado, cualquier solicitud que incluya este parámetro (por ejemplo, de páginas de actualización automática como el Panel de Flujo de Pacientes) nunca ejecuta la verificación de expiración: las sesiones expiradas pueden continuar accediendo a los datos indefinidamente, las estaciones de trabajo abandonadas permanecen activas, y un atacante con una cookie de sesión robada puede seguir enviando `skip_timeout_reset=1` para evitar ser desconectado. La versión 8.0.0 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/02/2026

Vulnerabilidad en OpenEMR (CVE-2026-25743)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de código abierto y gratuita de registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, los usuarios con el rol de &amp;#39;Administración de formularios&amp;#39; pueden completar cuestionarios (&amp;#39;formularios&amp;#39;) en encuentros de pacientes. Las respuestas a los formularios se muestran en la página del encuentro y en el historial de visitas para los usuarios con el mismo rol. Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en la función para mostrar las respuestas del formulario, permitiendo a cualquier atacante autenticado con el rol específico insertar JavaScript arbitrario en el sistema al introducir cargas útiles maliciosas en las respuestas del formulario. El código JavaScript es ejecutado posteriormente por cualquier usuario con el rol de formulario al ver las respuestas del formulario en las páginas de encuentro del paciente o en el historial de visitas. La versión 8.0.0 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en OpenEMR (CVE-2026-25746)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de registros médicos electrónicos y de práctica médica, gratuita y de código abierto. Las versiones anteriores a la 8.0.0 contienen una vulnerabilidad de inyección SQL en la prescripción que puede ser explotada por atacantes autenticados. La vulnerabilidad existe debido a una validación de entrada insuficiente en la funcionalidad de listado de prescripciones. La versión 8.0.0 corrige la vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en OpenEMR (CVE-2026-25927)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de código abierto y gratuita para la gestión de registros médicos electrónicos y consultorios médicos. Antes de la versión 8.0.0, la API de estado del visor DICOM (por ejemplo, carga o guardar/cargar estado) acepta un ID de documento (&amp;#39;doc_id&amp;#39;) sin verificar que el documento pertenezca al paciente o encuentro autorizado del usuario actual. Un usuario autenticado puede leer o modificar el estado del visor DICOM (por ejemplo, anotaciones, configuraciones de vista) para cualquier documento al enumerar los ID de documento. La versión 8.0.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026
Suscribirse a Vulnerabilidades