Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenEMR (CVE-2026-25135)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de registros de salud electrónicos y práctica médica de código abierto y gratuita. Las versiones anteriores a la 8.0.0 tienen una vulnerabilidad de revelación de información que filtra toda la información de contacto de todos los usuarios, organizaciones y pacientes en el sistema a cualquiera que tenga las capacidades de operación system/(Group,Patient,*).$export y system/Location.read. Esta vulnerabilidad tendrá impacto en las versiones de OpenEMR desde 2023. Esta revelación solo ocurrirá en entornos de muy alta confianza, ya que requiere el uso de un cliente confidencial con intercambio seguro de claves que requiere que un administrador habilite y otorgue permiso antes de que la aplicación pueda siquiera ser utilizada. Esto típicamente solo ocurrirá en comunicación de servidor a servidor entre clientes de confianza que ya tienen acuerdos legales establecidos. La versión 8.0.0 contiene un parche. Como solución alternativa, deshabilite los clientes que tienen los ámbitos vulnerables y solo permita los clientes que no tienen el ámbito system/Location.read hasta que se haya implementado una corrección.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en Endpoint Privilege Manager Agent de CyberArk Software, a Palo Alto Networks Company (CVE-2026-2914)
Fecha de publicación:
25/02/2026
Idioma:
Español
Las versiones 25.10.0 e inferiores del Agente de CyberArk Endpoint Privilege Manager permiten una potencial elevación de privilegios no autorizada aprovechando los diálogos de elevación de CyberArk
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en openemr (CVE-2026-24847)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, el módulo del formulario de Examen Ocular permite a cualquier usuario autenticado ser redirigido a una URL externa arbitraria. Esto puede ser explotado para ataques de phishing contra proveedores de atención médica que utilizan OpenEMR. La versión 8.0.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en openemr (CVE-2026-24849)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de registros médicos electrónicos y práctica médica de código abierto y gratuita. Antes de la versión 7.0.4, el método `disposeDocument()` en `EtherFaxActions.php` permite a los usuarios autenticados leer archivos arbitrarios del sistema de archivos del servidor. Cualquier usuario autenticado (independientemente del nivel de privilegio) puede explotar esta vulnerabilidad para leer archivos sensibles. La versión 7.0.4 corrige el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2026-24896)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, existe una vulnerabilidad de control de acceso roto en el endpoint edih_main.php de OpenEMR, que permite a cualquier usuario autenticado —incluidos roles de bajo privilegio como Recepcionista— acceder a los archivos de registro EDI manipulando el parámetro log_select en una solicitud GET. El back-end no aplica el control de acceso basado en roles (RBAC), lo que permite acceder a registros sensibles del sistema fuera de los límites de permisos impuestos por la GUI. La versión 8.0.0 soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2026-25124)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de código abierto y gratuita para registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, la aplicación OpenEMR es vulnerable a un fallo de control de acceso que permite a usuarios con pocos privilegios, como recepcionistas, exportar la lista completa de mensajes que contiene datos sensibles de pacientes y usuarios. La vulnerabilidad reside en la funcionalidad de exportación de informes de message_list.php, donde no hay una verificación de permisos antes de ejecutar consultas sensibles a la base de datos. El único control implementado es la verificación del token CSRF, lo que no impide el acceso no autorizado a los datos si el token se adquiere por otros medios. La versión 8.0.0 corrige la vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2026-25127)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, el servidor no valida correctamente el permiso del usuario. Usuarios no autorizados pueden ver la información de usuarios autorizados. La versión 8.0.0 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en OpenEMR (CVE-2026-25131)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de código abierto y gratuita para registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, existe una vulnerabilidad de control de acceso roto en el sistema de gestión de tipos de órdenes de OpenEMR, que permite a usuarios con pocos privilegios (como Recepcionista) añadir y modificar tipos de procedimiento sin la autorización adecuada. Esta vulnerabilidad está presente en el endpoint /openemr/interface/orders/types_edit.PHP. La versión 8.0.0 contiene un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2025-67752)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de prácticas médicas y registros de salud electrónicos de código abierto y gratuita. Antes de la versión 7.0.4, el wrapper del cliente HTTP de OpenEMR ('oeHttp'/'oeHttpRequest') deshabilita la verificación de certificados SSL/TLS por defecto ('verify: false'), haciendo que todas las conexiones HTTPS externas sean vulnerables a ataques man-in-the-middle (MitM). Esto afecta la comunicación con APIs gubernamentales de atención médica y servicios externos configurables por el usuario, exponiendo potencialmente Información de Salud Protegida (PHI). La versión 7.0.4 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2025-68277)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de práctica médica y registros de salud electrónicos gratuita y de código abierto. Antes de la versión 7.0.4, cuando se envía un enlace a través de Mensajería Segura, al hacer clic en el enlace se abre el sitio web dentro del sitio de OpenEMR/Portal. Este comportamiento podría ser explotado para phishing. La versión 7.0.4 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2025-69231)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación de gestión de registros médicos electrónicos y práctica médica gratuita y de código abierto. Antes de la versión 8.0.0, una vulnerabilidad de cross-site scripting almacenado en el formulario de evaluación de ansiedad GAD-7 permite a usuarios autenticados con privilegios de clínico inyectar JavaScript malicioso que se ejecuta cuando otros usuarios ven el formulario. Esto permite el secuestro de sesión, la toma de control de cuenta y la escalada de privilegios de clínico a administrador. La versión 8.0.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en openemr (CVE-2026-21443)
Fecha de publicación:
25/02/2026
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto de registros de salud electrónicos y gestión de consultorios médicos. Antes de la versión 8.0.0, la función de traducción 'xl()' devuelve cadenas sin escapar. Aunque existen funciones envoltorio para escapar en diferentes contextos ('xlt()' para HTML, 'xla()' para atributos, 'xlj()' para JavaScript), hay lugares en la base de código donde la salida de 'xl()' se usa directamente sin escapar. Si un atacante pudiera insertar contenido malicioso en la base de datos de traducción, estas salidas sin escapar podrían conducir a XSS. La versión 8.0.0 corrige el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
26/02/2026
Suscribirse a Vulnerabilidades