Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenProject (CVE-2026-24775)
Fecha de publicación:
28/01/2026
Idioma:
Español
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. En el nuevo editor para documentos colaborativos basado en BlockNote, los mantenedores de OpenProject añadieron una extensión personalizada en la versión 17.0.0 de OpenProject que permite mencionar paquetes de trabajo de OpenProject en el documento. Para mostrar los detalles del paquete de trabajo, el editor carga los detalles sobre el paquete de trabajo a través de la API de OpenProject. Para esta llamada a la API, la extensión del editor BlockNote no validó correctamente que el ID del paquete de trabajo dado fuera solo un número. Esto permitió a un atacante generar un documento con enlaces relativos que, al abrirse, podía realizar solicitudes 'GET' arbitrarias a cualquier URL dentro de la instancia de OpenProject. Este problema fue parcheado en la versión 0.0.22 de op-blocknote-extensions, que se envió con OpenProject 17.0.2. Si los usuarios no pueden actualizar inmediatamente a la versión 17.0.2 de OpenProject, los administradores pueden deshabilitar la edición colaborativa de documentos en Ajustes -> Documentos -> Colaboración en tiempo real -> Deshabilitar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2026

Vulnerabilidad en Drupal Commerce Paybox (CVE-2026-0750)
Fecha de publicación:
28/01/2026
Idioma:
Español
Vulnerabilidad de verificación incorrecta de firma criptográfica en Drupal Commerce Paybox en Drupal 7.X permite la omisión de autenticación. Este problema afecta a Drupal Commerce Paybox: desde 7-x-1.0 hasta 7.X-1.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en Drupal (CVE-2026-0749)
Fecha de publicación:
28/01/2026
Idioma:
Español
Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web ('cross-site scripting') vulnerabilidad en Drupal Form Builder permite cross-site scripting (XSS).Este problema afecta a Drupal: desde 7.X-1.0 hasta 7.X-1.22.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en Hocuspocus Synchronization Server (CVE-2026-24772)
Fecha de publicación:
28/01/2026
Idioma:
Español
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Para habilitar la colaboración en tiempo real en documentos, OpenProject 17.0 introdujo un servidor de sincronización. El backend de OpenProject genera un token de autenticación que actualmente es válido por 24 horas, lo cifra con un secreto compartido conocido solo por el servidor de sincronización. El frontend entrega este token cifrado y la URL del backend al servidor de sincronización para verificar la capacidad del usuario para trabajar en el documento y realizar guardados intermitentes durante la edición. El servidor de sincronización no valida correctamente la URL del backend y envía una solicitud con el token de autenticación descifrado al endpoint que se le dio al servidor. Un atacante podría usar esta vulnerabilidad para descifrar un token que interceptó por otros medios para obtener un token de acceso para interactuar con OpenProject en nombre de la víctima. Esta vulnerabilidad fue introducida con OpenProject 17.0.0 y fue corregida en 17.0.2. Como solución alternativa, deshabilite la función de colaboración a través de Configuración -> Documentos -> Colaboración en tiempo real -> Deshabilitar. Además, el contenedor 'hocuspocus' también debería deshabilitarse.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2026

Vulnerabilidad en Discourse (CVE-2025-68479)
Fecha de publicación:
28/01/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. En versiones anteriores a la 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0, algunos endpoints de suscripción carecen de una verificación adecuada de la propiedad antes de realizar cambios. Este problema está parcheado en las versiones 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2026

Vulnerabilidad en Discourse (CVE-2025-68659)
Fecha de publicación:
28/01/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Las versiones anteriores a 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0 tienen una vulnerabilidad de denegación de servicio a nivel de aplicación en la funcionalidad de cambio de nombre de usuario en try.discourse.org. La vulnerabilidad permite a los atacantes causar retrasos notables en el servidor y agotamiento de recursos al enviar grandes cargas útiles JSON al endpoint de preferencia de nombre de usuario PUT /u//preferences/username, lo que resulta en un rendimiento degradado para otros usuarios y endpoints. Este problema está parcheado en las versiones 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0. No hay soluciones alternativas conocidas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en Discourse (CVE-2025-68660)
Fecha de publicación:
28/01/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. En versiones anteriores a la 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0, un endpoint permite a cualquier usuario autenticado eludir los controles de acceso de ai_discover_persona y obtener acceso DM continuo a personas que pueden estar conectadas a categorías solo para personal, conjuntos de documentos RAG o herramientas automatizadas, lo que permite la divulgación no autorizada de datos. Debido a que el controlador también acepta un user_id arbitrario, un atacante puede suplantar otras cuentas para iniciar conversaciones de IA no deseadas en su nombre, generando tráfico de mensajes privados (PM) confuso o abusivo. Este problema está parcheado en las versiones 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en 66biolinks (CVE-2025-69601)
Fecha de publicación:
28/01/2026
Idioma:
Español
Una vulnerabilidad de salto de directorio (Zip Slip) existe en la característica 'Sitios Estáticos' de 66biolinks v44.0.0 de AltumCode. Los archivos ZIP subidos se extraen automáticamente sin validar ni sanear las rutas de archivo. Un atacante puede incluir secuencias de salto (p. ej., ../) en las entradas ZIP para escribir archivos fuera del directorio de extracción previsto. Esto permite la escritura de archivos estáticos (html, js, css, imágenes) en ubicaciones no deseadas, o la sobrescritura de archivos HTML existentes, lo que podría llevar a la desfiguración del contenido y, en ciertas implementaciones, a un mayor impacto si se sobrescriben archivos sensibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en Discourse (CVE-2025-66488)
Fecha de publicación:
28/01/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Una vulnerabilidad presente en versiones anteriores a 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0 afecta a cualquiera que use S3 para cargas. Aunque se pueden ejecutar los scripts, solo se hará en el contexto del dominio S3/CDN, sin credenciales del sitio. Las versiones 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0 solucionan el problema. Como solución alternativa, se recomienda no permitir archivos html o xml para cargas en authorized_extensions. Para las cargas existentes de html xml, los propietarios del sitio pueden considerar eliminarlas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en Discourse (CVE-2025-67723)
Fecha de publicación:
28/01/2026
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. Las versiones anteriores a 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0 tienen una vulnerabilidad de scripting entre sitios mitigada por política de seguridad de contenido en el plugin Discourse Math cuando se utiliza su variante KaTeX. Este problema está parcheado en las versiones 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0. Como solución alternativa, se puede deshabilitar el plugin Discourse Math, o se puede usar el proveedor Mathjax en lugar de KaTeX.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en FunJSQ (CVE-2022-40620)
Fecha de publicación:
28/01/2026
Idioma:
Español
FunJSQ, un módulo de terceros integrado en algunos routers NETGEAR y sistemas WiFi Orbi, no valida correctamente los certificados TLS al descargar paquetes de actualización a través de su mecanismo de autoactualización. Un atacante (posicionado adecuadamente en la red) podría interceptar la solicitud de actualización y entregar un paquete de actualización malicioso para obtener ejecución de código arbitrario en los dispositivos afectados. Esto afecta a R6230 anterior a 1.1.0.112, R6260 anterior a 1.1.0.88, R7000 anterior a 1.0.11.134, R8900 anterior a 1.0.5.42, R9000 anterior a 1.0.5.42, y XR300 anterior a 1.0.3.72 y Orbi RBR20 anterior a 2.7.2.26, RBR50 anterior a 2.7.4.26, RBS20 anterior a 2.7.2.26, y RBS50 anterior a 2.7.4.26.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en FunJSQ (CVE-2022-40619)
Fecha de publicación:
28/01/2026
Idioma:
Español
FunJSQ, un módulo de terceros integrado en algunos routers NETGEAR y sistemas WiFi Orbi, expone un servidor HTTP a través de la interfaz LAN de los dispositivos afectados. Esta interfaz es vulnerable a la inyección de comandos arbitrarios no autenticada a través del parámetro funjsq_access_token. Esto afecta a los R6230 anteriores a 1.1.0.112, R6260 anteriores a 1.1.0.88, R7000 anteriores a 1.0.11.134, R8900 anteriores a 1.0.5.42, R9000 anteriores a 1.0.5.42, y XR300 anteriores a 1.0.3.72 y a los Orbi RBR20 anteriores a 2.7.2.26, RBR50 anteriores a 2.7.4.26, RBS20 anteriores a 2.7.2.26, y RBS50 anteriores a 2.7.4.26.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2026
Suscribirse a Vulnerabilidades