Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la Máquina Virtual TON (TVM) (CVE-2025-70956)
Fecha de publicación:
13/02/2026
Idioma:
Español
Se descubrió una vulnerabilidad de contaminación de estado en la Máquina Virtual TON (TVM) antes de la v2025.04. El problema existe en la lógica de la instrucción RUNVM (VmState::run_child_vm), que es responsable de inicializar máquinas virtuales secundarias. La operación mueve recursos críticos (específicamente librerías y registro) del estado padre a un nuevo estado secundario de manera no atómica. Si ocurre una excepción de Out-of-Gas (OOG) después de que los recursos son movidos pero antes de que la transición de estado sea finalizada, la VM padre retiene un estado corrupto donde estos recursos están vacíos/inválidos. Debido a que RUNVM soporta aislamiento de gas, la VM padre continúa la ejecución con este estado corrupto, lo que lleva a un comportamiento inesperado o denegación de servicio dentro del contexto del contrato.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en TON Lite Server (CVE-2025-70957)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de denegación de servicio (DoS) fue descubierta en el TON Lite Server antes de la v2024.09. La vulnerabilidad surge del manejo de argumentos externos pasados a 'get methods' ejecutados localmente. Un atacante puede inyectar un objeto Continuation construido (un tipo interno de TVM) que normalmente está restringido dentro de la VM. Cuando la TVM ejecuta esta continuación maliciosa, consume recursos excesivos de CPU mientras acumula costos de gas virtual desproporcionadamente bajos. Esta computación 'gratuita' permite a un atacante monopolizar la potencia de procesamiento del Lite Server, reduciendo significativamente su rendimiento y causando una denegación de servicio para usuarios legítimos que actúan a través de la pasarela.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en PixelYourSite – Your smart PIXEL (CVE-2026-1841)
Fecha de publicación:
13/02/2026
Idioma:
Español
El plugin PixelYourSite – Your smart PIXEL (TAG) & API Manager para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro 'pysTrafficSource' y el parámetro 'pys_landing_page' en todas las versiones hasta la 11.2.0, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en LavaLite CMS (CVE-2025-70866)
Fecha de publicación:
13/02/2026
Idioma:
Español
LavaLite CMS 10.1.0 es vulnerable a un control de acceso incorrecto. Un usuario autenticado con privilegios de bajo nivel (rol de usuario) puede acceder directamente al backend de administración iniciando sesión a través de /admin/login. La vulnerabilidad existe porque los mecanismos de autenticación de administrador y de usuario comparten el mismo proveedor de usuarios sin verificación de control de acceso basado en roles.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en Advanced Popup Creator (CVE-2025-69633)
Fecha de publicación:
13/02/2026
Idioma:
Español
Una vulnerabilidad de inyección SQL en el módulo Advanced Popup Creator (advancedpopupcreator) para PrestaShop 1.1.26 hasta 1.2.6 (Corregido en la versión 1.2.7) permite a atacantes remotos no autenticados ejecutar consultas SQL arbitrarias a través del parámetro fromController en el controlador de popup. El parámetro se pasa sin sanear a las consultas SQL en classes/AdvancedPopup.php (funciones getPopups() y updateVisits()).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Starfish Review Generation & Marketing (CVE-2025-15157)
Fecha de publicación:
13/02/2026
Idioma:
Español
El plugin Starfish Review Generation & Marketing para WordPress para WordPress es vulnerable a la modificación no autorizada de datos que puede conducir a la escalada de privilegios debido a una verificación de capacidad faltante en la función 'srm_restore_options_defaults' en todas las versiones hasta la 3.1.19, inclusive. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, actualicen opciones arbitrarias en el sitio de WordPress. Esto puede ser aprovechado para actualizar el rol predeterminado para el registro a administrador y habilitar el registro de usuarios para que los atacantes obtengan acceso de usuario administrativo a un sitio vulnerable.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Calero VeraSMART (CVE-2026-26333)
Fecha de publicación:
13/02/2026
Idioma:
Español
Las versiones de Calero VeraSMART anteriores a 2022 R1 exponen un servicio HTTP de .NET Remoting sin autenticación en el puerto TCP 8001. El servicio publica ObjectURIs predeterminados (incluyendo EndeavorServer.rem y RemoteFileReceiver.rem) y permite el uso de formateadores SOAP y binarios con TypeFilterLevel configurado en Full. Un atacante remoto sin autenticación puede invocar los puntos finales de remoting expuestos para realizar operaciones arbitrarias de lectura y escritura de archivos a través de la clase WebClient. Esto permite la recuperación de archivos sensibles como WebRoot\\web . config, que pueden revelar las claves de validación y descifrado de machineKey de IIS. Un atacante puede usar estas claves para generar una carga útil maliciosa de ASP.NET ViewState y lograr la ejecución remota de código dentro del contexto de la aplicación IIS. Además, proporcionar una ruta UNC puede desencadenar la autenticación SMB saliente desde la cuenta de servicio, exponiendo potencialmente hashes NTLMv2 para retransmisión o cracking fuera de línea.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
26/02/2026

Vulnerabilidad en Calero VeraSMART (CVE-2026-26334)
Fecha de publicación:
13/02/2026
Idioma:
Español
Las versiones de Calero VeraSMART anteriores a 2026 R1 contienen claves de cifrado AES estáticas codificadas de forma rígida dentro de Veramark.Framework.dll (clase Veramark.Core.Config). Estas claves se utilizan para cifrar la contraseña de la cuenta de servicio almacenada en C:\\VeraSMART Data\\app.settings. Un atacante con acceso local al sistema puede extraer las claves codificadas de forma rígida del módulo Veramark.Framework.dll y descifrar las credenciales almacenadas. Las credenciales recuperadas pueden luego utilizarse para autenticarse en el host de Windows, lo que podría resultar en una escalada de privilegios local dependiendo de los privilegios de la cuenta de servicio configurada.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en Calero VeraSMART (CVE-2026-26335)
Fecha de publicación:
13/02/2026
Idioma:
Español
Las versiones de Calero VeraSMART anteriores a 2022 R1 utilizan valores estáticos de machineKey de ASP.NET/IIS configurados para la aplicación web VeraSMART y almacenados en C:\\Program Files (x86)\\Veramark\\VeraSMART\\WebRoot\\web .config. Un atacante que obtiene estas claves puede crear una carga útil de ViewState de ASP.NET válida que pasa la validación de integridad y es aceptada por la aplicación, lo que resulta en deserialización del lado del servidor y ejecución remota de código en el contexto de la aplicación IIS.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
26/02/2026

CVE-2025-68124
Fecha de publicación:
13/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: reserved but not needed
Gravedad: Pendiente de análisis
Última modificación:
13/02/2026

CVE-2025-68125
Fecha de publicación:
13/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: reserved but not needed
Gravedad: Pendiente de análisis
Última modificación:
13/02/2026

CVE-2025-68126
Fecha de publicación:
13/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: reserved but not needed
Gravedad: Pendiente de análisis
Última modificación:
13/02/2026
Suscribirse a Vulnerabilidades